主页 > 行业新闻 > 昨天晚上中国互联网被Struts2漏洞血洗,互联网金
2016年05月05日

昨天晚上中国互联网被Struts2漏洞血洗,互联网金

  

昨天晚上中国互联网被Struts2漏洞血洗,互联网金

  昨天晚上(4月26日),中国互联网遭遇了一场服务器安全性的巨大挑战:Struts 2漏洞!

  2016年4月21日Apache官方发布了安全公告( 官方编号S2-032 /CVE编号CVE-2016-3081),Apache Struts2 服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。这一漏洞影响的软件版本为2.3.20-2.3.28。这是自2012年 Struts2 命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模漏洞。

  

  

昨天晚上中国互联网被Struts2漏洞血洗,互联网金

  国内权威安全众测平台 “乌云漏洞报告平台” 已收到100多家网站的相关漏洞报告,其中互联网金融、电商、基础服务企业占了很大比例(甚至银行也未幸免)。

  

昨天晚上中国互联网被Struts2漏洞血洗,互联网金

  Struts2漏洞 怎么解决

  Struts2是Apache项目下的一个web 框架(Apache Struts 2是世界上最流行的Java Web服务器框架之一。),普遍应用于阿里巴巴、京东等互联网、政府、企业门户等大中型网站。

  其实在2013年6月底发布的Struts 2.3.15版本也被曝出存在重要的安全漏洞,当时的主要问题如下:①、可远程执行服务器脚本代码

  用户可以构造?action:%{(new java.lang.ProcessBuilder(new java.lang.String[]{‘command’,’goes’,’here’})).start()}链接,command goes here可以换成是破坏脚本的路径和参数,比如fdisk -f等,造成破环系统无法运行的目的。

  ②、重定向漏洞

  用户可以构造如知名网站淘宝的重定向连接,形如打折新款,引导用户点击后进入钓鱼网站,在界面上让其进行登陆用以获取用户的密码。

  最新 Struts2漏洞 解决办法

  ①、禁用动态方法调用

  修改Struts2的配置文件,将“struts.enable.DynamicMethodInvocation”的值设置为false,比如:

  ;

  ②、升级软件版本

  如果条件允许,可升级Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1,这几个版本都不存在此漏洞。

  升级地址:https://struts.apache.org/download.cgi#struts23281

  终极解决办法:换云服务器

  说来说去,服务器的安全问题主要体现在两块:DDoS攻击和漏洞攻击。换安全有保障的云服务器才是王道。国内很多云服务器都对安全问题都有很好的技术防范、预测、处理方案,比如 UCloud云计算。

  UCloud 的优盾服务拥有5大安全模块:

  ①基础安全服务

  基础安全服务是为使用UCloud弹性IP的用户提供基础的安全服务,弹性IP可与云主机、云路由、负载均衡绑定。当这些绑定弹性IP的设备遭受到DDoS攻击、暴力破解、异地登陆这些攻击时,系统会进行记录和分析,帮助用户排查安全隐患。

  ②Web应用防护

  UCloud云WAF通过一系列针对Web应用的安全策略来专门为Web应用保驾护航。能够检测并阻断常用的Web扫描攻击、Web漏洞攻击、SQL注入攻击、XSS攻击、远程命令执行、CC攻击等一系列攻击。专业安全团队及时漏洞响应,规则不定期更新,为您的Web应用提供专业保护。

  ③入侵防御系统

  UCloud云IPS以全面深入的协议分析为基础,通过协议分析引擎动态地分析报文中包含的协议特征,能够快速、准确地检测出四到七层的恶意系统扫描、暴力猜测、系统漏洞攻击、缓冲区溢出攻击、应用程序攻击、蠕虫病毒、后门木马等恶意攻击行为,并能够对攻击进行实时阻断。专业安全团队及时漏洞响应,规则不定期更新,为您的主机提供专业保护。

  ④高防服务

  高防为已备案的域名或源站IP(包括非UCloud的弹性外网IP)提供DDoS攻击防护。当用户的域名或源站IP(包括非UCloud的弹性外网IP)在遭受大流量的DDoS攻击时,可以通过高防IP代理源站IP面向用户,隐藏源站IP,将攻击流量引流到高防IP,确保源站的稳定正常运行。

  ⑤云加密服务

  云加密服务(UCloud encrypt service)通过使用经国家密码管理局检测认证的硬件密码机,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性和机密性。借助加密服务,用户可以进行安全的密钥管理,并使用多种加密算法来进行加密运算。用户不必再为繁复的设备集成与管理工作耗费额外的精力,仅需要申请相应规模的密码服务即可。

昨天晚上中国互联网被Struts2漏洞血洗,互联网金