pc捍卫者
 当前位置 → pc捍卫者pc网络安全 → 浏览正文
Struts2漏洞之觞:官方发漏洞代码
作者:本站综合    来源:www.pchwz.com    更新时间:2013年07月24日

  Struts 2漏洞之觞:官方公布漏洞代码

  为什么这次Struts 2漏洞让国内国外一些知名大站措手不及,还没有来得及修复已经很多被攻陷城池,连京东、淘宝也难幸免,网站安全顿时一片哀鸿,究其始作俑者,皆为Apache官方的失策,而此次Struts 2漏洞的影响,可能会远远大于网友们的预期。

  随着苹果开发者网站的沦陷,已经曝光一周的Apache Struts2漏洞再次成为热门话题,今天有消息称由于该漏洞被利用,淘宝的数据库已经被盗,尽管淘宝官方否认了这一说法,但是从乌云漏洞平台的报告看,该漏洞已经波及到了包括京东、淘宝等在内的大型网站。

  Struts 2应用范围有多广?此次漏洞有多严重?哪些网站受到了波及?可怕在哪里?

  1、哪些网站中招了?

  乌云漏洞平台最新确认的漏洞名单中,中国电信、中国联通等运营商部分分站,中科院、工信部、交通部、中国邮政等部分站点,以及腾讯、淘宝、搜狐等大型互联网公司的部分分站均在列,不过很多分站并不涉及数据库。

  中招的不止是国内网站,苹果开发者网站“宕机”5天后,苹果也终于承认是遭到入侵,业内猜测可能是由于Stuts2漏洞,随后Ubuntu的开发者社区也被黑,182万用户数据被盗,尽管数据已经加密,仍然存在一定安全隐患。

  此次受影响最严重的是京东,在乌云平台上有十几个漏洞被提交,涉及的站点包括奢侈品站360Top、彩票页面、充值页面、支付成功页面等。

  2、波及的网站包括一些银行网站和淘宝等电商网站,对用户而言是不是很危险?

  此次波及的网站中有一部分银行的分站,并不涉及数据库,不过如果是存在登录功能,则黑客可以通过挂马的方式在用户登录过程中盗取银行账号和密码,所以还是有一定危险性。

  淘宝网今天发布声明否认了漏洞被利用的说法。淘宝确实在一些非常边缘的站点使用过Stuts 2框架,但是后来开发了自己的框架,主要业务并没有受到影响。

  1、什么是Struts 2漏洞?

  Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

  Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。

  此次爆发的漏洞是Struts 2的一个远程执行漏洞,利用这个漏洞,攻击者可以上传后门,黑掉一个网站或者盗取用户数据库。

  3、为什么此次Struts 2漏洞影响巨大?

  第一,Apache官方在漏洞公告中直接把漏洞利用代码公开了,这是一个令人震惊的做法,因为在公布之前还有很多网站没有及时打上补丁。公布后该漏洞疯狂传播,并出现了直接利用该漏洞进行入侵的傻瓜工具,一些未及时更新补丁的网站被入侵。

  第二,Apache Struts 2是一个应用框架,它的漏洞并不像Windows一样,及时发个补丁推送给用户,更新了就没事了,而是需要站长和网站维护人员自己去更新这个补丁,国内并不是每个网站的技术人员都会第一时间注意并更新这个漏洞。

  第三,在漏洞被公布后黑客们为了展示“战果”,把大量存在漏洞的网站公布在第三方平台上,很多之前没有关注到该漏洞的黑客们开始关注并寻找漏洞。

  4、业内传言

  (1)、黑客很忙。很多黑客此前已经掌握了一些网站的漏洞,并获取了权限,此次Struts漏洞泄露后,为了防止其他黑客通过该漏洞也获得这些网站的权限,这些黑客会主动去修复“肉鸡”的漏洞,一方面另一波黑客要争取抢在漏洞被修复前完成入侵,于是双方展开了攻防战,在这期间很多网站发现其漏洞被“自动修复”。

  (2)、Apache作恶。有黑客称自己在5月份已经发现两个远程执行漏洞,提交后Apache官方只是出了一个声明确认了该漏洞,但是并未发布补丁。这已经不是Struts第一次出现漏洞,但是官方对于安全问题的处理简单粗暴,甚至需要修补多次才能修好,此次更是“奇葩”到直接公布了漏洞的利用方法。

  尽管目前官方发布了补丁,不过按照此前的经验,该补丁是否可以彻底消除安全隐患还有待观察。

  5、是否已经有网站被拖库?

  拖库是指将从数据库导出数据,各大网站通常会将数据库进行加密,黑客会将这些数据库破解并获得数据。

  目前还没有确切证据标明已经有大型网站的数据库被拖库,黑市上也没有新的数据库出现,因为漏洞公开时间不长,影响可能要到几个月后才会显现。

  后记:不知Apache是否对自己的失策行为作出合理解释,按常理自己的原因出现的Struts 2漏洞,就应该自己负责把漏洞补丁做好,然后广而告知,Apache倒好,最先广而告知的是漏洞的利用方法,难道Apache是和小黑们一伙的?

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点

上一篇:Struts2爆出高危安全漏洞      下一篇struts2漏洞原理分析与解决办法
Tags:
 
 
>> 推荐文章
·网络安全之12360崩了!
·最强手机芯片骁龙865跑分
·人民日报35岁现象怎么解析?
·卫星传输数据到iPhone的办法
·苹果手机销量暴降35%!
·红米K30普通版5G版,怎样选择K
·预计2025年5G用户渗透率为48
·红米K30真阉割版5G手机吗?
·Android 10与 iOS 1
·高通骁龙 865详细性能参数
·安卓的这个漏洞一直都还在
·苹果明年iPhone中或支持5G
·问题:5G网络什么时候才能普及?
·“携号转网”能否随心所欲?
·英特尔处理器缺货转投AMD
·国产OLED在市场的地位逐渐凸显
·交通安全日注重生命安全
·《携号转网服务管理规定》今起施行
>> 赞助商链接
|pc捍卫者|捍卫你地盘|唯尚技术|||版权声明|关于我们
本站文章除原创者其余源自网络,如有侵权请联系站长,将于24小时内删除