pc捍卫者
 当前位置 → pc捍卫者pc网络安全 → 浏览正文
Struts 2漏洞网络安全启示录
作者:本站综合    来源:www.pchwz.com    更新时间:2013年07月25日

  Struts 2漏洞启示录:网络安全光有技术还不行

  通过Struts 2漏洞事件,让我们看到,网络安全中没有完全安全的服务器,只有技术在网络安全领域是无法抵御网络攻击的,最快的响应速度,最及时的处理行动,才是网络安全维护必备的素质。

  事件回顾:

  2013年7月17日被许多人称之为中国网络安全灾难日。这一天,成为许多安全运维、黑客的不眠之夜……

  此前,据乌云漏洞报告平台、SCANV网站安全中心等安全机构发出的红色警报显示:世界知名开源软件Struts2再曝高危漏洞,该漏洞影响到struts2.0-2.3.15版本,可直接导致服务器被远程控制,引起数据泄漏。这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。

  Struts 2漏洞一石激起千层浪

  Strut是Apache基金会Jakarta项目组的一个开源项目,其采用MVC 模式,帮助java开发者利用J2EE开发 Web 应用。Struts通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架,目前,Struts广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。

  Struts2已经并非第一次曝出高危漏洞,其在今年5月底发布的Struts 2.3.14.2版本、6月初发布的2.3.14.3版本,都修复了相关的漏洞,而这些漏洞都可能导致执行远程命令、访问/控制会话以及发起XSS攻击等。

  然而以往的这些Struts2漏洞,都没有引起如此次这般巨大的影响。据安全专家介绍,由于Struts2属于底层框架,其漏洞影响范围广、利用难度低,利用该漏洞,“菜鸟”也可以使用攻击工具直接控制网站服务器,盗取用户数据库,获取网站注册用户的帐号密码和个人资料。

  与此同时,网络上已开始出现一些自动化、傻瓜化的Stuts2漏洞攻击软件,只要在软件中填写存在Struts 2漏洞的网站地址,即可直接执行服务器命令,读取网站数据或让服务器关机等操作。

  据乌云平台的数据显示:本次爆发的Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多。国内数十个知名网站已经被发现受该漏洞影响,包括电信、移动、百度、腾讯、京东商城等网站的分站。

  相关安全机构也纷纷在第一时间发布Stuts2漏洞的相关信息分析及漏洞补丁下载地址,力图将漏洞损失控制到最小范围。

  而苹果官方也在今天向开发者发出邮件称,其开发者网站(developer.apple.com)遭到入侵,部分开发者信息可能已被泄露。有关安全专家认为,此次入侵或与此次爆发的Apache Struts2漏洞有关。虽然目前尚不清楚苹果被入侵的真正原因以及影响,但如果其真的与Struts2漏洞有关,一场全球性的网络安全危机或将到来。

  如果在重大网络安全漏洞曝光时没有及时响应,把其化作执行力,就不能够在漏洞攻击中保护数据的安全。所以我们要第一时间彻查站点是否有无Struts2漏洞,才能避免数据损失。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点

上一篇:struts2漏洞原理分析与解决办法      下一篇Struts2漏洞补丁官方下载地址
Tags:
 
 
>> 推荐文章
·网络安全之12360崩了!
·最强手机芯片骁龙865跑分
·人民日报35岁现象怎么解析?
·卫星传输数据到iPhone的办法
·苹果手机销量暴降35%!
·红米K30普通版5G版,怎样选择K
·预计2025年5G用户渗透率为48
·红米K30真阉割版5G手机吗?
·Android 10与 iOS 1
·高通骁龙 865详细性能参数
·安卓的这个漏洞一直都还在
·苹果明年iPhone中或支持5G
·问题:5G网络什么时候才能普及?
·“携号转网”能否随心所欲?
·英特尔处理器缺货转投AMD
·国产OLED在市场的地位逐渐凸显
·交通安全日注重生命安全
·《携号转网服务管理规定》今起施行
>> 赞助商链接
|pc捍卫者|捍卫你地盘|唯尚技术|||版权声明|关于我们
本站文章除原创者其余源自网络,如有侵权请联系站长,将于24小时内删除