趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:随着苹果开发者网站的沦陷,已经曝光一周的Apache Struts2漏洞再次成为热门话题,今天有消息称由于该漏洞被利用,淘宝的数据库已经被盗,尽管淘宝官方否认了这一说法,但是从乌云漏洞平台的报告看,该漏洞已经波及到了包括京东、淘宝等在内的大型网站。
吴柳芳为占用公共资源致歉
网友:我觉得养活自己没错,网红也是职业,但是既然擦边了就不要和体操联系起来,毕竟这是一项运动, 一项堂堂正正为国争光的运动,不能跟低级恶趣味挂钩,师妹怼得没错。
紫金矿业回应被贩毒集团掠夺3吨黄金
网友:贩毒集团居然不是直接抢黄金,而是辛苦挖矿。
男子打赏女主播400万自己啃馒头
网友:工地的什么铜料可以卖200多万啊,打破了我的认知。
美43只雌猴逃出实验室或携带致命病毒
网友:又来了,这一手还真是玩不腻。
大学生300元抢6399元电车提车被拒
网友:在玩文字游戏吗?有图有证据,为什么一会儿说是定金,一会儿说是挡风被。
男孩被老师拎到讲台狂扇20多巴掌
网友:怎么这么多代课老师,主科都是代课老师,学校的正式编制是都给校领导用了吗。

趋势网(微博)讯:

Struts2应用范围有多广?此次漏洞有多严重?哪些网站受到了波及?可怕在哪里?多名安全界人士,对该漏洞进行详细解读。

1、什么是Struts 2漏洞?

Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。

此次爆发的漏洞是Struts 2的一个远程执行漏洞,利用这个漏洞,攻击者可以上传后门,黑掉一个网站或者盗取用户数据库。

2、为什么此次Struts 2漏洞影响巨大?

第一,Apache官方在漏洞公告中直接把漏洞利用代码公开了,这是一个令人震惊的做法,因为在公布之前还有很多网站没有及时打上补丁。公布后该漏洞疯狂传播,并出现了直接利用该漏洞进行入侵的傻瓜工具,一些未及时更新补丁的网站被入侵。

第二,Apache Struts2是一个应用框架,它的漏洞并不像Windows一样,及时发个补丁推送给用户,更新了就没事了,而是需要站长和网站维护人员自己去更新这个补丁,国内并不是每个网站的技术人员都会第一时间注意并更新这个漏洞。

第三,在漏洞被公布后黑客们为了展示“战果”,把大量存在漏洞的网站公布在第三方平台上,很多之前没有关注到该漏洞的黑客们开始关注并寻找漏洞。

3、哪些网站中招了?

乌云漏洞平台最新确认的漏洞名单中,中国电信、中国联通等运营商部分分站,中科院、工信部、交通部、中国邮政等部分站点,以及腾讯、淘宝、搜狐等大型互联网公司的部分分站均在列,不过很多分站并不涉及数据库。

中招的不止是国内网站,苹果开发者网站“宕机”5天后,苹果也终于承认是遭到入侵,业内猜测可能是由于Stuts2漏洞,随后Ubuntu的开发者社区也被黑,182万用户数据被盗,尽管数据已经加密,仍然存在一定安全隐患。

此次受影响最严重的是京东,在乌云平台上有十几个漏洞被提交,涉及的站点包括奢侈品站360Top、彩票页面、充值页面、支付成功页面等。

4、波及的网站包括一些银行网站和淘宝等电商网站,对用户而言是不是很危险?

此次波及的网站中有一部分银行的分站,并不涉及数据库,不过如果是存在登录功能,则黑客可以通过挂马的方式在用户登录过程中盗取银行账号和密码,所以还是有一定危险性。

淘宝网今天发布声明否认了漏洞被利用的说法。淘宝确实在一些非常边缘的站点使用过Stuts2框架,但是后来开发了自己的框架,主要业务并没有受到影响。

5、是否已经有网站被拖库?

拖库是指将从数据库导出数据,各大网站通常会将数据库进行加密,黑客会将这些数据库破解并获得数据。

目前还没有确切证据标明已经有大型网站的数据库被拖库,黑市上也没有新的数据库出现,因为漏洞公开时间不长,影响可能要到几个月后才会显现。

6、业内传言

①、黑客很忙。很多黑客此前已经掌握了一些网站的漏洞,并获取了权限,此次Struts漏洞泄露后,为了防止其他黑客通过该漏洞也获得这些网站的权限,这些黑客会主动去修复“肉鸡”的漏洞,一方面另一波黑客要争取抢在漏洞被修复前完成入侵,于是双方展开了攻防战,在这期间很多网站发现其漏洞被“自动修复”。

②、Apache作恶。有黑客称自己在5月份已经发现两个远程执行漏洞,提交后Apache官方只是出了一个生命确认了该漏洞,但是并未发布补丁。这已经不是Struts第一次出现漏洞,但是官方对于安全问题的处理简单粗暴,甚至需要修补多次才能修好,此次更是“奇葩”到直接公布了漏洞的利用方法。

尽管目前官方发布了补丁,不过按照此前的经验,该补丁是否可以彻底消除安全隐患还有待观察。

以上信息引用自多名安全行业从业者口述,以及“道哥的黑板报”等公众账号。

美国多州欲立法抵制特朗普施政
网友:真的挺好奇社会到这种程度的撕裂,最后的走向到底是什么。
给爱说话学生戴小蜜蜂的老师离职
网友:事实证明,学校里的任何事,不要拍视频,拍了也自己存着,控制一下分享欲,不是所有人都理解的。
浙大通报家庭困难学生晒旅游照
网友:这么看起来这学生还挺励志,赚了这么多钱去旅游,助学金才多少点啊。
百万粉丝博主江边捡垃圾发现散落人骨
网友:这博胆子是真大,敢直接用手拿。
清华学生殴打北航辅导员
网友:看来清华要求跑3000米还是有用的,北航就是吃了不重视体育的亏。
官方回应济宁一女孩商场内坠亡
网友:商场是有责任,可一般人谁去坐电动扶梯上面啊?
受王宝强资助孩子父亲发声
情侣亲密时酒店房间遭两男子闯入
黑龙江:非必要不击毙老虎 除非正伤人
吉林一滑冰馆被曝坍塌
官方回应济宁一女孩商场内坠亡
吴柳芳为占用公共资源致歉
何同学抄袭风波原作者发声
货车司机家属质疑劳斯莱斯车主
质问不修宿舍学生已被家长领回家
浙江发生重大刑案当地组织搜山追凶
  感谢各大网址导航推荐本站: