上一篇文章剛剛才寫了《第三方元件安全》,近日就爆出了多個struts2漏洞,這讓網際網路經歷了一場腥風血雨,而且還在持續發酵著,不僅無數**伺服器被攻陷,而且一定會有資料庫被拖庫,客戶資訊洩露的發生。毫無疑問,這場風波肯定會給網際網路造成巨大的損失。關於這次的struts2的漏洞解析以及利用,網上已經有很多資訊和資料。本篇文章就不再累述了。不過,通過這次事件,至少有兩點是值得我們好好反思的。
當漏洞資訊被公布的時候,一般來講,為了避免漏洞造成更大的影響和破壞,同時也是有意為元件的使用者提供乙個時間差來修復漏洞,採取應對措施,所以關於漏洞的細節是不會立即向大眾公開的,而僅僅是有乙個模糊的描述,然而奇葩的是,這次的漏洞詳細資訊居然立馬就被公布出來了,而且還是struts官方自爆,我只想說,oh,wtf……
安全意識真的真的真的真的真的真的真的真的真的真的真的真的很重要。雖然struts官方在公布細節的時候也發布了漏洞補丁(補丁不靠譜是另外一會兒事兒,oh wtf),但是我真的很懷疑他們到底有沒有仔細考慮過這樣魯莽的做法會造成什麼樣的後果。但凡有點安全意識的人估計都幹不出這事兒。
無論是個人開發者還是企業開發團隊,都應該培養自己的安全意識。有很多錯誤都是可以通過培養和提高安全意識而避免的。
這次的漏洞資訊在網路上傳得漫天飛舞,人盡皆知,很大一部分功勞應該算在微博身上,多虧了微博才讓這一訊息及時的傳遞到了各個開發團隊。不過回過頭來讓我們想想,假如沒有微博呢?開發團隊還能這麼快就知道漏洞的細節嗎(官方自爆除外 orz )?我看未必,而這就是值得我們反思的地方,開發團隊需要得到及時的安全預警。
正如我前一篇博文裡提到的,現如今的產品程式裡80%的**來自於第三方元件,而且這些元件之間還有相互的依賴關係,一旦某個核心基礎元件出了安全問題,建立在它之上的其他元件、產品程式都會受到影響,開發團隊應該重視第三方元件的安全問題。
更何況現在早就過了通訊****的時代了,資訊傳播已經變得相當便捷,漏洞詳細資訊一旦公布就會以很快的速度傳播開去,相關的攻擊將會如洪水般襲來,開發團隊就是要搶這個時間差,如果不能及時的得到安全預警,將會對後續安全響應造成不利影響。
綜上所述,開發團隊應該盡早建立起第三方元件安全預警流程,及時得到預警訊息。
最後還是要總結一下,雖然我不怎麼善於搞總結。
安全意識需要持續的培養,預警資訊需要及時得到。做到這兩點雖然不能解決一切安全問題,但是只要做好了,絕對是可以避免大量安全問題的。但願這次的struts2漏洞事件盡早結束,如果你不巧使用了struts2有漏洞的版本,趕緊公升級打補丁去吧。鑑於struts2的各種不靠譜,如果有可能,建議替換掉struts2。
珍愛生命,遠離struts2
發現 Struts2的漏洞
struts2的最新漏洞 17年3,6日apache struts2被曝存在遠端命令執行漏洞。官方評為 高危,該漏洞是由於使用基於jakarta外掛程式的檔案上傳功能的條件下,惡意使用者可以通過修改http請求頭中的content type值來觸發漏洞,進而執行任意系統命令,導致系統被黑客入侵。具體...
Struts2漏洞利用例項
struts2漏洞利用例項 如果存在struts2漏洞的站,administrator許可權,但是無法加管理組,內網,shell訪問500.1.struts2 漏洞原理 struts2是乙個框架,他在處理action的時候,呼叫底層的getter setter來處理http的引數,將每乙個http的...
Struts2漏洞利用例項
struts2漏洞利用例項 如果存在struts2漏洞的站,administrator許可權,但是無法加管理組,內網,shell訪問500.1.struts2 漏洞原理 struts2是乙個框架,他在處理action的時候,呼叫底層的getter setter來處理http的引數,將每乙個http的...