Welcome 微信登录
编程资源 图片资源库 蚂蚁家优选 PDF转换器

首页 / 操作系统 / Linux / Struts2漏洞解读:官方惹祸 黑客攻防

随着苹果开发者网站的沦陷,已经曝光一周的Apache Struts2漏洞再次成为热门话题,今天有消息称由于该漏洞被利用,淘宝的数据库已经被盗,尽管淘宝官方否认了这一说法,但是从乌云漏洞平台的报告看,该漏洞已经波及到了包括京东、淘宝等在内的大型网站。Struts2应用范围有多广?此次漏洞有多严重?哪些网站受到了波及?可怕在哪里?网易科技请教了多名安全界人士,对该漏洞进行详细解读。1、什么是Struts 2漏洞?Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。此次爆发的漏洞是Struts 2的一个远程执行漏洞,利用这个漏洞,攻击者可以上传后门,黑掉一个网站或者盗取用户数据库。2、为什么此次Struts 2漏洞影响巨大?第一,Apache官方在漏洞公告中直接把漏洞利用代码公开了,这是一个令人震惊的做法,因为在公布之前还有很多网站没有及时打上补丁。公布后该漏洞疯狂传播,并出现了直接利用该漏洞进行入侵的傻瓜工具,一些未及时更新补丁的网站被入侵。第二,Apache Struts2是一个应用框架,它的漏洞并不像Windows一样,及时发个补丁推送给用户,更新了就没事了,而是需要站长和网站维护人员自己去更新这个补丁,国内并不是每个网站的技术人员都会第一时间注意并更新这个漏洞。第三,在漏洞被公布后黑客们为了展示“战果”,把大量存在漏洞的网站公布在第三方平台上,很多之前没有关注到该漏洞的黑客们开始关注并寻找漏洞。3、哪些网站中招了?乌云漏洞平台最新确认的漏洞名单中,中国电信、中国联通等运营商部分分站,中科院、工信部、交通部、中国邮政等部分站点,以及腾讯、淘宝、搜狐等大型互联网公司的部分分站均在列,不过很多分站并不涉及数据库。中招的不止是国内网站,苹果开发者网站“宕机”5天后,苹果也终于承认是遭到入侵,业内猜测可能是由于Stuts2漏洞,随后Ubuntu的开发者社区也被黑,182万用户数据被盗,尽管数据已经加密,仍然存在一定安全隐患。此次受影响最严重的是京东,在乌云平台上有十几个漏洞被提交,涉及的站点包括奢侈品站360Top、彩票页面、充值页面、支付成功页面等。4、波及的网站包括一些银行网站和淘宝等电商网站,对用户而言是不是很危险?此次波及的网站中有一部分银行的分站,并不涉及数据库,不过如果是存在登录功能,则黑客可以通过挂马的方式在用户登录过程中盗取银行账号和密码,所以还是有一定危险性。淘宝网今天发布声明否认了漏洞被利用的说法。淘宝确实在一些非常边缘的站点使用过Stuts 2框架,但是后来开发了自己的框架,主要业务并没有受到影响。5、是否已经有网站被拖库?拖库是指将从数据库导出数据,各大网站通常会将数据库进行加密,黑客会将这些数据库破解并获得数据。目前还没有确切证据标明已经有大型网站的数据库被拖库,黑市上也没有新的数据库出现,因为漏洞公开时间不长,影响可能要到几个月后才会显现。6、业内传言①、黑客很忙。很多黑客此前已经掌握了一些网站的漏洞,并获取了权限,此次Struts漏洞泄露后,为了防止其他黑客通过该漏洞也获得这些网站的权限,这些黑客会主动去修复“肉鸡”的漏洞,一方面另一波黑客要争取抢在漏洞被修复前完成入侵,于是双方展开了攻防战,在这期间很多网站发现其漏洞被“自动修复”。②、Apache作恶。有黑客称自己在5月份已经发现两个远程执行漏洞,提交后Apache官方只是出了一个声明确认了该漏洞,但是并未发布补丁。这已经不是Struts第一次出现漏洞,但是官方对于安全问题的处理简单粗暴,甚至需要修补多次才能修好,此次更是“奇葩”到直接公布了漏洞的利用方法。尽管目前官方发布了补丁,不过按照此前的经验,该补丁是否可以彻底消除安全隐患还有待观察。以上信息引用自多名安全行业从业者口述,以及“道哥的黑板报”等公众账号。相关阅读:Apache Struts多个前缀参数远程命令执行漏洞(CVE-2013-2251) http://www.linuxidc.com/Linux/2013-07/87491.htmApache Struts 多个开放重定向漏洞(CVE-2013-2248) http://www.linuxidc.com/Linux/2013-07/87490.htmStruts2 远程执行代码(S2-016) 利用工具 http://www.linuxidc.com/Linux/2013-07/87541.htmCisco Unified Operations Manager SQL注入漏洞(CVE-2013-3437)Struts漏洞修补过程之S2-016相关资讯      黑客  Struts2漏洞 
  • 黑客透露他如何入侵Hacking Team的  (04月18日)
  • 影响历史的四个黑客故事  (01月24日)
  • 黑客利用 Wi-Fi 攻击你的七种方法  (12/28/2015 19:43:01)
  • 黑客控制 Dridex 服务器 用杀毒软  (02月07日)
  • 黑客是如何入侵和控制物联网设备的  (12/31/2015 10:14:35)
  • Ashley Madison黑客做种时留下了足  (08/24/2015 06:14:19)
本文评论 查看全部评论 (0)
表情: 姓名: 字数


评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
<
版权所有©石家庄振强科技有限公司2024 冀ICP备08103738号-5 网站地图