Struts 2漏洞启示:信息安全 不仅仅只关乎技术

最新推荐文章于 2022-12-21 17:25:47 发布
最新推荐文章于 2022-12-21 17:25:47 发布
阅读量984 收藏 1
点赞数

事件回顾:

  2013年7月17日被许多人称之为中国互联网安全灾难日。这一天,成为许多安全运维、黑客的不眠之夜……

  此前,据乌云漏洞报告平台、SCANV网站安全中心等安全机构发出的红色警报显示:世界知名开源软件Struts2再曝高危漏洞,该漏洞影响到 struts2.0-2.3.15版本,可直接导致服务器被远程控制,引起数据泄漏。这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。

 Struts 2漏洞一石激起千层浪

  Strut是Apache基金会Jakarta项目组的一个开源项目,其采用MVC 模式,帮助java开发者利用J2EE开发 Web 应用。Struts通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架,目前,Struts广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。

  Struts2已经并非第一次曝出高危漏洞,其在今年5月底发布的Struts 2.3.14.2版本、6月初发布的2.3.14.3版本,都修复了相关的漏洞,而这些漏洞都可能导致执行远程命令、访问/控制会话以及发起XSS攻击等。

  然而以往的这些Struts2漏洞,都没有引起如此次这般巨大的影响。据360安全专家石晓虹博士介绍,由于Struts2属于底层框架,其漏洞影响范围广、利用难度低,利用该漏洞,“菜鸟”也可以使用攻击工具直接控制网站服务器,盗取用户数据库,获取网站注册用户的帐号密码和个人资料。

  与此同时,网络上已开始出现一些自动化、傻瓜化的Stuts2漏洞攻击软件,只要在软件中填写存在Struts 2漏洞的网站地址,即可直接执行服务器命令,读取网站数据或让服务器关机等操作。

  相关安全机构也纷纷在第一时间发布Stuts2漏洞的相关信息分析及漏洞补丁下载地址,力图将漏洞损失控制到最小范围。

  然而,据乌云平台的数据显示:本次爆发的Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多。国内数十个知名网站已经被发现受该漏洞影响,包括电信、移动、百度、腾讯、京东商城等网站的分站。而苹果官方也在今天向开发者发出邮件称,其开发者网站 (developer.apple.com)遭到入侵,部分开发者信息可能已被泄露。有关安全专家认为,此次入侵或与此次爆发的Apache Struts2漏洞有关。虽然目前尚不清楚苹果被入侵的真正原因以及影响,但如果其真的与Struts2漏洞有关,一场全球性的互联网安全危机或将到来。

Struts 2漏洞来势凶猛为哪般?

  至此,本次漏洞波及面之大,受影响范围之广,有人将其堪比中国的“棱镜事件”,可以说,将其称之为互联网的灾难并不为过。那么,本次Struts 2高危漏洞为何来势如此凶猛?

  除去网络安全面临的攻击形式日益复杂的原因,首先不得不说的是:国内很多网站安全意识仍旧淡薄。正如之前所说,Struts2漏洞并非第一次爆发,而正是由于之前或许并未造成太大影响,这让很多网站的安全管理人员心存侥幸。据了解,国内大批网站均存在该漏洞,但这其中,有很多网站连Stuts 2之前的老漏洞都尚未进行过修复,从而在本次Stuts2漏洞的风暴中,将网站注册用户信息赤裸裸地暴露在黑客攻击枪口面前。对于这些网站来讲,即便亡羊补牢,也为时晚矣。

  而另一方面,有安全专家认为,本次漏洞风暴如此凶猛,还与和Struts官方的不合理做法有关。知名安全专家安全宝联合产品副总裁吴瀚清对此次事件发文表示:“Struts漏洞这次来势之所以这么凶猛,和Struts官方不负责任的态度有很大关系。官方这次在自己的漏洞公告中直接把漏洞利用代码贴出来了,这是一种很罕见的做法。”

  据吴瀚清描述,安全行业里默认的行规是“提示漏洞存在,但只公布描述,不公布细节”。大多数安全公告连漏洞涉及的代码都不公布。一般的安全厂商在看到漏洞公告后,可能会通过“补丁对比”,或者是二进制软件的逆向分析等技术来定位漏洞。这样做的原因就是为了防止漏洞细节被黑客看到后,直接利用漏洞攻击用户。

  一个漏洞对互联网的影响大小,与该漏洞是否存在傻瓜化利用工具有关。漏洞的利用工具被传播的越广,对互联网造成的影响就越大。而正是Struts官方在漏洞公告中直接披露漏洞利用代码这一罕见的做法,给了黑客更多有机可乘的机会。

  “Struts官方披露了漏洞利用方法,首先就让这个漏洞被大面积利用成为可能。加之这一做法让很多之前没有关注这个漏洞的黑客们也开始对其进行关注,他们出于各自的目的,开始找寻存在漏洞的网站。可以不夸张的说,整个中国互联网应该被狠狠的捋了一遍。”吴瀚清在文中写道。

  (参考文章:Struts漏洞后果本不该这么严重)

  启示:

  正如吴瀚清所说:“本次Struts 2漏洞这次本来不会这么严重,过往有些比这更严重的漏洞也没有造成这么恶劣的影响。”

  面对日益复杂的形势,信息安全已经成为一个不仅仅只关乎技术的问题。科技的发展是一把双刃剑,其能造福人类,亦能产生破坏性的功效。而这一点,除了技术本身之外,或许更多的要从我们的意识层面去把握。

  面对此次Struts 2漏洞带来如此之大的影响,足以给互联网业界信息安全从业人员带来警醒:信息安全的警钟,应时刻长鸣。

    而对于Struts官方究竟为何要对此次的Struts 2漏洞采取直接披露代码这样如此罕见的做法,我们无从而知。但其带来的不可估量的影响,已经足以让安全业界对其此次的做法引以为戒。诚然在目前,信息安全界并没有规范的规则体系对Struts官方此次的做法做出评判,但在未来,对于类似事件的处理,是否能有相应的规则来规范?如何将信息安全事件的损失降到最小,这条路,值得业界继续探索。  

 

思路决定出路
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【安全漏洞Struts2漏洞集合总结
HBohan的博客
01-24 3242
总结了一部分 Strtus2 漏洞,虽然现在这部分的漏洞很少了,但也是学习的一部分,收集的并不全面,后续会做补充。 漏洞环境搭建可以使用在线的 Vulfocus ,或者使用docker部署。
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
Struts2漏洞检查工具Struts2.2019.V2.3
【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助
weixin_34248705的博客
04-27 89
Struts2是一款优秀的网站框架,在互联网上有十分广泛的应用,近期apache官方发布了高危漏洞通告Apache Struts 任意代码执行漏洞(CVE-2016-3081,S2-032),该漏洞风险等级为高级且广泛影响Struts2各版本,利用该漏洞黑客可以执行任意命令、可直接获取网站服务器权限等,具有严重的危害性。中国国家信息安全漏...
框架/组件漏洞系列1:struts2漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-03 9237
前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://.
Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045
HAKUNAMATATATTA的博客
12-21 2101
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts2Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
Struts版本升级——安全漏洞:版本由2.3.32升级为2.5.22
我想靜靜
08-17 1838
struts2——一个web应用框架,目前很多新项目已不再使用。 但是很多老项目很可能是使用Strus2进行开发的。本人接触一个项目使用的但是Struts 2.3.32版本。因为安全漏洞扫描,发现很多安全问题。为了解决这些问题,需要对Struts2的版本进行升级。 而版本升级有牵涉到项目中一系列的改动,都有哪些改动呢? Struts2版本由2.3.32升级为2.5.22 1、struts2的jar包版本替换 找到项目的pom.xml文件, <dependency> <gro
Struts2-RCE:Burp Extender用于检查struts 2 RCE漏洞
04-15
Struts2-RCE 一个Burp Extender,用于检查struts 2 RCE漏洞。描述此burp扩展有助于识别struts2 Web应用程序中的Struts2远程代码执行漏洞。 此Burp扩展程序检测以下18个RCE,它们是S2-001 S2-007 S2-008 S2-012 S2-...
基于Python的Struts2安全漏洞扫描工具设计源码
04-09
Struts2安全漏洞扫描工具 - 基于Python开发,包含21个文件,如WAR、GITIGNORE、LICENSE、MD、PY、TXT和JSP等。该项目为用户提供了一个Struts2安全漏洞扫描工具,通过界面交互和功能模块,为用户提供了一个高效、易用...
Struts2技术内幕:深入解析Struts架构设计与实现原理
07-22
资源名称:Struts2技术内幕:深入解析Struts架构设计与实现原理内容简介:本书由国内极为资深的Struts2技术专家(网名:downpour)亲自执笔,iteye兼CSDN产品总监范凯(网名:robbin)以及51CTO等技术社区鼎力推荐。...
Struts2-Scan:Struts2漏洞扫描利用工具
05-04
Struts2-ScanStruts2漏洞利用扫描工具,基于互联网上已经公开的Structs2高危漏洞exp的扫描利用工具,目前支持的漏洞如下: S2-001, S2-003, S2-005, S2-007, S2-008, S2-009, S2-012, S2-013, S2-015, S2-016, S2-019...
node-v12.16.3-x86.msi
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
云计算基础课件—架构dr.pptx
04-25
云计算基础课件—架构dr.pptx
067ssm-jsp-mysql艺诚美业管理系统.zip(可运行源码+数据库文件+文档)
04-25
L文主要是对艺诚美业管理系统进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求,以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对艺诚美业管理系统进行了一些具体测试。 本文以JSP为开发技术,实现了一个艺诚美业管理系统。艺诚美业管理系统的主要使用者分为管理员;个人中心、会员管理、员工管理、员工打卡管理、技师预约管理、发型美容师管理、技师类型管理、套餐信息管理、套餐类型管理、套餐购买管理、会员充值管理、系统管理,员工;个人中心、员工打卡管理、技师预约管理,会员;个人中心、技师预约管理、套餐购买管理、会员充值管理,前台首页;首页、发型美容师、套餐信息、我的、跳转到后台等功能。通过这些功能模块的设计,基本上实现了整个艺诚美业管理系统的过程。 具体在系统设计上,采用了B/S的结构,同时,也使用JSP技术在动态页面上进行了设计,后台上采用Mysql数据库,是一个非常优秀的艺诚美业管理系统。 关键词 :艺诚美业管理系统;JSP技术;Mysql数据库;B/S结构
【微信小程序毕业设计】外卖点餐系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】外卖点餐系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:242】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 有管理员,外卖员,餐厅,用户共四个角色。管理员功能有个人中心,外卖员管理,餐厅管理,用户管理,菜品分类管理,菜品信息管理,外卖订单管理,订单配送管理,订单评价管理,在线留言管理,系统管理等。外卖员,餐厅,用户都可以在微信小程序上面进行注册和登录操作。餐厅角色可以在微信小程序上面进行菜品的添加,修改,删除,查询操作,可以对用户的订单进行审核操作,查看订单配送状态和评价,可以查看投诉反馈和在线留言等。外卖员角色可以在微信小程序上面进行订单的抢单操作,查看订单配送和评价信息等。 用户角色可以在微信小程序上面进行菜品的查看和查询,对自己下的订单进行支付操作,查看订单配送和对订单评价,收藏菜品等操作。
oplog4j是java项目生成操作日志的工具,兼容spring(高分项目).zip
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
数学规划模型讲义.pptx
04-25
数学模型算法
【前端素材】大数据-大数据可视化系统数据分析通用模版i.zip
04-25
大数据技术指的是用于处理和分析大规模数据集的技术和工具。以下是一些常见的大数据技术和工具: Hadoop:Apache Hadoop是一个用于分布式存储和处理大规模数据的开源框架。它包括Hadoop Distributed File System(HDFS)用于数据存储和MapReduce用于数据处理。 Spark:Apache Spark是一个快速、通用的集群计算系统,提供了比MapReduce更快的数据处理能力。它支持内存计算和更多复杂的数据处理流程。 NoSQL数据库:NoSQL数据库(如MongoDB、Cassandra等)则更适用于处理这类数据。 数据仓库:数据仓库是一个用于集成和分析大规模数据的存储系统,一些知名的数据仓库包括Snowflake、Amazon Redshift等。 数据湖:数据湖是一个存储结构化和非结构化数据的存储池,用于支持数据分析和机器学习应用。 机器学习:大数据技术也广泛应用于机器学习领域,支持大规模数据的模型训练和预测分析。 流式处理:针对实时数据处理需求,流式处理技术(如Apache Kafka、Apache Flink)可以实时。
matlab实现遗传算法matlab源码+详细说明.zip
04-25
遗传算法的理论是根据达尔文进化论而设计出来的算法: 人类是朝着好的方向(最优解)进化,进化过程中,会自动选择优良基因,淘汰劣等基因。 遗传算法(英语:genetic algorithm (GA) )是计算数学中用于解决最佳化的搜索算法,是进化算法的一种。进化算法最初是借鉴了进化生物学中的一些现象而发展起来的,这些现象包括遗传、突变、自然选择、杂交等。 搜索算法的共同特征为: 首先组成一组候选解 依据某些适应性条件测算这些候选解的适应度 根据适应度保留某些候选解,放弃其他候选解 对保留的候选解进行某些操作,生成新的候选解
基于JSP毕业设计-MVC设计模式应用之游戏卡在线销售系统(论文).zip
04-25
基于JSP毕业设计-MVC设计模式应用之游戏卡在线销售系统(论文).zip 随着市场经济的逐渐形成,全球化经济已在国内迅速发展起来。以往的销售模式正在受到空前的挑战,人们已对过去固定场所购买(出售)固定的物品交易方式所带来的不便越来越感到不满了。 原因之一:交易时间长、效率低。原因之二:销售场地高额的租金、服务人员的众多配制、各种繁多的额外开支、给商家带来了沉重的成本支出。 为了适应市场、适应经济前进的步伐,买家和商家都在努力积极地寻找一种能够带来高效率、低成本的销售模式。计算机及世界互联网的飞速发展使得这种新的销售模式成为可能。   网上商城(简称商城)使得商家可以把商店开到互联网上来,而买家也可以到互联网上选择购买自己喜欢的商品。网上商城不需要商店的租赁费,新商品可以用最短的时间吸引顾客的眼球,因为它不需要那么长的运输时间。 网上商城为商家节省了大笔的运输费用、场地租赁费等额外成本,同时也为买家带来了无穷的方便性。因为它不需要你花上一天的时间去商场,在玲郎满目的众多商品中选择你需要的东西。网上商城使得“买东西、不出门”成为现实。廉价的网络资源使得网上商城成本低廉,世界性的互联网络
Struts2漏洞利用工具可以检查什么安全漏洞
07-14
Struts2是一个Java Web应用程序开发框架,而不是一个安全漏洞扫描工具。然而,由于Struts2曾经存在一些安全漏洞,因此有一些安全工具可以用于检查Struts2应用程序中的潜在漏洞。 以下是一些常见的Struts2漏洞利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值