趋势网 > 资讯 > 正文
版权归原作者所有 侵权敬请通知移除
摘要:随着苹果开发者网站的沦陷,已经曝光一周的Apache Struts2漏洞再次成为热门话题,今天有消息称由于该漏洞被利用,淘宝的数据库已经被盗,尽管淘宝官方否认了这一说法,但是从乌云漏洞平台的报告看,该漏洞已经波及到了包括京东、淘宝等在内的大型网站。
狗仔曝刘晓庆撒谎送走男保姆三哥
网友:送养老院不是养老吗,难道要刘晓庆亲自照顾才叫养老吗?
刘强东章泽天报案
网友:别觉得随便造谣不用负责。
网信办将核实调查瑞士卷事件
网友:我不觉得这是什么值得调查的事情,就算这个段子是假的,生活当中也处处在发生类似这样的真实的事情。
引导失误致冠军变亚军痛失21万奖金
网友:这种应该造成失误的人补发奖金。
14岁男孩电梯内捂嘴猥亵女童被拘
网友:我就不明白了,双方都是未成年人的情况下,怎么就不能站在受害方去考虑,老是考虑罪犯是未成年干嘛。
乌克兰称已同朝鲜军队发生交战
网友:我把将军当太阳,将军拿我赚外汇。

趋势网(微博)讯:

Struts2应用范围有多广?此次漏洞有多严重?哪些网站受到了波及?可怕在哪里?多名安全界人士,对该漏洞进行详细解读。

1、什么是Struts 2漏洞?

Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。

此次爆发的漏洞是Struts 2的一个远程执行漏洞,利用这个漏洞,攻击者可以上传后门,黑掉一个网站或者盗取用户数据库。

2、为什么此次Struts 2漏洞影响巨大?

第一,Apache官方在漏洞公告中直接把漏洞利用代码公开了,这是一个令人震惊的做法,因为在公布之前还有很多网站没有及时打上补丁。公布后该漏洞疯狂传播,并出现了直接利用该漏洞进行入侵的傻瓜工具,一些未及时更新补丁的网站被入侵。

第二,Apache Struts2是一个应用框架,它的漏洞并不像Windows一样,及时发个补丁推送给用户,更新了就没事了,而是需要站长和网站维护人员自己去更新这个补丁,国内并不是每个网站的技术人员都会第一时间注意并更新这个漏洞。

第三,在漏洞被公布后黑客们为了展示“战果”,把大量存在漏洞的网站公布在第三方平台上,很多之前没有关注到该漏洞的黑客们开始关注并寻找漏洞。

3、哪些网站中招了?

乌云漏洞平台最新确认的漏洞名单中,中国电信、中国联通等运营商部分分站,中科院、工信部、交通部、中国邮政等部分站点,以及腾讯、淘宝、搜狐等大型互联网公司的部分分站均在列,不过很多分站并不涉及数据库。

中招的不止是国内网站,苹果开发者网站“宕机”5天后,苹果也终于承认是遭到入侵,业内猜测可能是由于Stuts2漏洞,随后Ubuntu的开发者社区也被黑,182万用户数据被盗,尽管数据已经加密,仍然存在一定安全隐患。

此次受影响最严重的是京东,在乌云平台上有十几个漏洞被提交,涉及的站点包括奢侈品站360Top、彩票页面、充值页面、支付成功页面等。

4、波及的网站包括一些银行网站和淘宝等电商网站,对用户而言是不是很危险?

此次波及的网站中有一部分银行的分站,并不涉及数据库,不过如果是存在登录功能,则黑客可以通过挂马的方式在用户登录过程中盗取银行账号和密码,所以还是有一定危险性。

淘宝网今天发布声明否认了漏洞被利用的说法。淘宝确实在一些非常边缘的站点使用过Stuts2框架,但是后来开发了自己的框架,主要业务并没有受到影响。

5、是否已经有网站被拖库?

拖库是指将从数据库导出数据,各大网站通常会将数据库进行加密,黑客会将这些数据库破解并获得数据。

目前还没有确切证据标明已经有大型网站的数据库被拖库,黑市上也没有新的数据库出现,因为漏洞公开时间不长,影响可能要到几个月后才会显现。

6、业内传言

①、黑客很忙。很多黑客此前已经掌握了一些网站的漏洞,并获取了权限,此次Struts漏洞泄露后,为了防止其他黑客通过该漏洞也获得这些网站的权限,这些黑客会主动去修复“肉鸡”的漏洞,一方面另一波黑客要争取抢在漏洞被修复前完成入侵,于是双方展开了攻防战,在这期间很多网站发现其漏洞被“自动修复”。

②、Apache作恶。有黑客称自己在5月份已经发现两个远程执行漏洞,提交后Apache官方只是出了一个生命确认了该漏洞,但是并未发布补丁。这已经不是Struts第一次出现漏洞,但是官方对于安全问题的处理简单粗暴,甚至需要修补多次才能修好,此次更是“奇葩”到直接公布了漏洞的利用方法。

尽管目前官方发布了补丁,不过按照此前的经验,该补丁是否可以彻底消除安全隐患还有待观察。

以上信息引用自多名安全行业从业者口述,以及“道哥的黑板报”等公众账号。

中介自称今年已卖出20多个孩子
网友:这还是现代文明社会吗?
臭肉风波学校多名学生尿酸偏高
网友:学校的教室监控和食堂监控,应该共享给家长随时观看。
河北一女生晚上就餐时疑遭醉汉殴打
网友:我记得有一年的河北除黑行动,口号打的很响亮的。
特朗普赢得2024美国大选
网友:第一章:回宫。
马斯克每天抽1名选民送100万美元
网友:哈里斯赢,马斯克进去。特朗普胜出,比尔盖茨进去。
LV称合肥银泰中心涉事柜姐已离职
网友:柜姐竟喊男的爸爸,还发裸 照和酒店房间号。
马斯克每天抽1名选民送100万美元
美国大选前夕更多富人计划离开美国
私人影院肢体接触明码标价
马斯克要求台湾供应商搬出台湾
员工曝高校食堂使用过期食材被开除
雷军辟谣偷喝过员工酸奶
蜂花删除真假闺蜜争议性漫画
苏州一小区给业主分红户均分到4位数
王心凌音乐节观众大喊退票
内地游客香港换钱被骂穷
  感谢各大网址导航推荐本站: