www涩-www黄网站-www黄色-www黄色com-国产免费拍拍视频在线观看网站-国产免费怕怕免费视频观看

信息安全 不僅僅只關(guān)乎技術(shù)

2013-10-15 15:12:36 比特網(wǎng)  點(diǎn)擊量: 評(píng)論 (0)
2013年7月17日被許多人稱之為中國(guó)互聯(lián)網(wǎng)安全災(zāi)難日。這一天,成為許多安全運(yùn)維、黑客的不眠之夜……此前,據(jù)烏云漏洞報(bào)告平臺(tái)、SCANV網(wǎng)站安全中心等安全機(jī)構(gòu)發(fā)出的紅色警報(bào)顯示
                                  


2013年7月17日被許多人稱之為中國(guó)互聯(lián)網(wǎng)安全災(zāi)難日。這一天,成為許多安全運(yùn)維、黑客的不眠之夜……
此前,據(jù)烏云漏洞報(bào)告平臺(tái)、SCANV網(wǎng)站安全中心等安全機(jī)構(gòu)發(fā)出的紅色警報(bào)顯示:世界知名開源軟件Struts2再曝高危漏洞,該漏洞影響到struts2.0-2.3.15版本,可直接導(dǎo)致服務(wù)器被遠(yuǎn)程控制,引起數(shù)據(jù)泄漏。這些漏洞可使黑客取得網(wǎng)站服務(wù)器的“最高權(quán)限”,從而使企業(yè)服務(wù)器變成黑客手中的“肉雞”。
Struts 2漏洞一石激起千層浪
Strut是Apache基金會(huì)Jakarta項(xiàng)目組的一個(gè)開源項(xiàng)目,其采用MVC 模式,幫助java開發(fā)者利用J2EE開發(fā) Web 應(yīng)用。Struts通過采用Java Servlet/JSP技術(shù),實(shí)現(xiàn)了基于Java EE Web應(yīng)用的Model-View-Controller(MVC)設(shè)計(jì)模式的應(yīng)用框架,目前,Struts廣泛應(yīng)用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機(jī)構(gòu)等網(wǎng)站建設(shè),并作為網(wǎng)站開發(fā)的底層模板使用。
Struts2已經(jīng)并非第一次曝出高危漏洞,其在今年5月底發(fā)布的Struts 2.3.14.2版本、6月初發(fā)布的2.3.14.3版本,都修復(fù)了相關(guān)的漏洞,而這些漏洞都可能導(dǎo)致執(zhí)行遠(yuǎn)程命令、訪問/控制會(huì)話以及發(fā)起XSS攻擊等。
然而以往的這些Struts2漏洞,都沒有引起如此次這般巨大的影響。據(jù)360安全專家石曉虹博士介紹,由于Struts2屬于底層框架,其漏洞影響范圍廣、利用難度低,利用該漏洞,“菜鳥”也可以使用攻擊工具直接控制網(wǎng)站服務(wù)器,盜取用戶數(shù)據(jù)庫(kù),獲取網(wǎng)站注冊(cè)用戶的帳號(hào)密碼和個(gè)人資料。
與此同時(shí),網(wǎng)絡(luò)上已開始出現(xiàn)一些自動(dòng)化、傻瓜化的Stuts2漏洞攻擊軟件,只要在軟件中填寫存在Struts 2漏洞的網(wǎng)站地址,即可直接執(zhí)行服務(wù)器命令,讀取網(wǎng)站數(shù)據(jù)或讓服務(wù)器關(guān)機(jī)等操作。
相關(guān)安全機(jī)構(gòu)也紛紛在第一時(shí)間發(fā)布Stuts2漏洞的相關(guān)信息分析及漏洞補(bǔ)丁下載地址,力圖將漏洞損失控制到最小范圍。
然而,據(jù)烏云平臺(tái)的數(shù)據(jù)顯示:本次爆發(fā)的Struts漏洞影響巨大,受影響站點(diǎn)以電商、銀行、門戶、政府居多。國(guó)內(nèi)數(shù)十個(gè)知名網(wǎng)站已經(jīng)被發(fā)現(xiàn)受該漏洞影響,包括電信、移動(dòng)、百度、騰訊、京東商城等網(wǎng)站的分站。而蘋果官方也在今天向開發(fā)者發(fā)出郵件稱,其開發(fā)者網(wǎng)站(developer.apple.com)遭到入侵,部分開發(fā)者信息可能已被泄露。有關(guān)安全專家認(rèn)為,此次入侵或與此次爆發(fā)的Apache Struts2漏洞有關(guān)。雖然目前尚不清楚蘋果被入侵的真正原因以及影響,但如果其真的與Struts2漏洞有關(guān),一場(chǎng)全球性的互聯(lián)網(wǎng)安全危機(jī)或?qū)⒌絹怼?br style="word-wrap: break-word; " /> Struts 2漏洞來事兇猛為哪般?
至此,本次漏洞波及面之大,受影響范圍之廣,有人將其堪比中國(guó)的“棱鏡事件”,可以說,將其稱之為互聯(lián)網(wǎng)的災(zāi)難并不為過。那么,本次Struts 2高危漏洞為何來勢(shì)如此兇猛?
除去網(wǎng)絡(luò)安全面臨的攻擊形式日益復(fù)雜的原因,首先不得不說的是:國(guó)內(nèi)很多網(wǎng)站安全意識(shí)仍舊淡薄。正如之前所說,Struts2漏洞并非第一次爆發(fā),而正是由于之前或許并未造成太大影響,這讓很多網(wǎng)站的安全管理人員心存僥幸。據(jù)了解,國(guó)內(nèi)大批網(wǎng)站均存在該漏洞,但這其中,有很多網(wǎng)站連Stuts 2之前的老漏洞都尚未進(jìn)行過修復(fù),從而在本次Stuts2漏洞的風(fēng)暴中,將網(wǎng)站注冊(cè)用戶信息赤裸裸地暴露在黑客攻擊槍口面前。對(duì)于這些網(wǎng)站來講,即便亡羊補(bǔ)牢,也為時(shí)晚矣。
而另一方面,有安全專家認(rèn)為,本次漏洞風(fēng)暴如此兇猛,還與和Struts官方的不合理做法有關(guān)。知名安全專家安全寶聯(lián)合產(chǎn)品副總裁吳瀚清對(duì)此次事件發(fā)文表示:“Struts漏洞這次來勢(shì)之所以這么兇猛,和Struts官方不負(fù)責(zé)任的態(tài)度有很大關(guān)系。官方這次在自己的漏洞公告中直接把漏洞利用代碼貼出來了,這是一種很罕見的做法。”
據(jù)吳瀚清描述,安全行業(yè)里默認(rèn)的行規(guī)是“提示漏洞存在,但只公布描述,不公布細(xì)節(jié)”。大多數(shù)安全公告連漏洞涉及的代碼都不公布。一般的安全廠商在看到漏洞公告后,可能會(huì)通過“補(bǔ)丁對(duì)比”,或者是二進(jìn)制軟件的逆向分析等技術(shù)來定位漏洞。這樣做的原因就是為了防止漏洞細(xì)節(jié)被黑客看到后,直接利用漏洞攻擊用戶。
一個(gè)漏洞對(duì)互聯(lián)網(wǎng)的影響大小,與該漏洞是否存在傻瓜化利用工具有關(guān)。漏洞的利用工具被傳播的越廣,對(duì)互聯(lián)網(wǎng)造成的影響就越大。而正是Struts官方在漏洞公告中直接披露漏洞利用代碼這一罕見的做法,給了黑客更多有機(jī)可乘的機(jī)會(huì)。
“Struts官方披露了漏洞利用方法,首先就讓這個(gè)漏洞被大面積利用成為可能。加之這一做法讓很多之前沒有關(guān)注這個(gè)漏洞的黑客們也開始對(duì)其進(jìn)行關(guān)注,他們出于各自的目的,開始找尋存在漏洞的網(wǎng)站。可以不夸張的說,整個(gè)中國(guó)互聯(lián)網(wǎng)應(yīng)該被狠狠的捋了一遍。”吳瀚清在文中寫道。
(參考文章:Struts漏洞后果本不該這么嚴(yán)重)
啟示:
正如吳瀚清所說:“本次Struts 2漏洞這次本來不會(huì)這么嚴(yán)重,過往有些比這更嚴(yán)重的漏洞也沒有造成這么惡劣的影響。”
面對(duì)網(wǎng)絡(luò)攻擊日益復(fù)雜的形勢(shì),網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)不僅僅只關(guān)乎技術(shù)的問題。科技的發(fā)展是一把雙刃劍,其能造福人類,亦能產(chǎn)生破壞性的功效。而這一點(diǎn),或許更多的要從我們的意識(shí)層面去把握。
對(duì)于Struts官方究竟為何要對(duì)此次的Struts 2漏洞采取直接披露代碼這樣如此罕見的做法,我們無(wú)從而知。但其帶來的不可估量的影響,已經(jīng)足以讓安全業(yè)界對(duì)其此次的做法引以為戒。
而面對(duì)此次Struts 2漏洞帶來如此之大的影響,也足以給互聯(lián)網(wǎng)業(yè)界信息安全從業(yè)人員帶來警醒:信息安全的警鐘,應(yīng)時(shí)刻長(zhǎng)鳴。

大云網(wǎng)官方微信售電那點(diǎn)事兒

責(zé)任編輯:和碩涵

免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
?
主站蜘蛛池模板: 亚洲视频在线观看一区 | 国产玖玖玖精品视频 | 日本在线 | 中文 | 欧美一级欧美一级高清 | 国产亚洲精品成人婷婷久久小说 | 韩国免又爽又刺激激情视频 | 毛片com| 成年免费在线观看 | 男女午夜视频在线观看 | 亚洲精品一区二区三区四区手机版 | 精品一区二区高清在线观看 | 日韩加勒比 | 免费看片亚洲 | f性欧美 | 久久91亚洲精品中文字幕 | 成人毛片网 | 国产精品久久久久久久网站 | 国产成人精品在视频 | 午夜手机看片 | 97在线免费看视频 | 亚洲在线免费视频 | 欧美成人毛片在线视频 | 99久热在线精品视频播 | 久草在线视频新时代视频 | 国产在线一二三区 | 香港台湾经典三级a视频 | 成人国产在线不卡视频 | 三级全黄的全黄三级三级播放 | 亚洲欧美日韩另类在线 | 欧美一级在线全免费 | 亚欧精品一区二区三区 | 成人综合婷婷国产精品久久免费 | 亚洲成人性视频 | 国产精品久久久久久久久久久不卡 | 成人亚洲天堂 | 中文日韩字幕 | 久久亚洲精品一区成人 | 国产亚洲视频在线播放大全 | 日本老熟妇激情毛片 | 亚洲精品久久一区毛片 | 日韩三级免费观看 |