文档章节

【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/04/27 14:54
字数 797
阅读 72
收藏 1

Struts2是一款优秀的网站框架,在互联网上有十分广泛的应用,近期apache官方发布了高危漏洞通告Apache Struts 任意代码执行漏洞(CVE-2016-3081,S2-032),该漏洞风险等级为高级且广泛影响Struts2各版本,利用该漏洞黑客可以执行任意命令、可直接获取网站服务器权限等,具有严重的危害性。中国国家信息安全漏洞库于4月26日正式发布了该漏洞信息,一夜之间乌云等互联网漏洞平台已曝出大量银行、互联网公司、传统企业的网站受该漏洞影响。

这自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年爆发大规模之后,该服务时隔四年爆发的大规模漏洞。

为什么这个漏洞事件影响会如此严重? 国内外使用Apache Struts2框架的企业机构实在太多,安全过渡依赖第三方,甚至能看到本次被第一时间暴漏影响到的是金融行业和运营商。而这些企业机构掌握的核心的数据资产,使得该漏洞的影响更为严重。当然,几年前的Struts2漏洞影响余波甚至可以追溯到2015年,甚至目前还有一些企业机构外网和内网还存在很多几年前未修复的漏洞现象。而基本经过前几次的补丁升级,现在能看到的大多数企业团队使用的Apache是存在有问题的版本,这方面的数据,其实很期待有更专业的安全团队来进行分析比对,有一组更为直观的数据可以展示。

截止目前,乌云漏洞报告已收到100多家网站的相关漏洞报告,其中银行占了很大比例,目前已有多个版本的漏洞利用POC在互联网流传,分为命令执行版本与直接写入web后门的版本 【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

本次漏洞影响范围 【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

漏洞测试样例 【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

解决方案一 【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

解决方案二 使用OneRASP JAVA探针可实时阻断漏洞攻击,代码级定位漏洞。

【中国互联网不眠夜】Struts2漏洞百出,OneRASP鼎力相助

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。阅读更多技术文章,请访问OneAPM 官方技术博客

本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
安全无小事:如何给企业用户数据上把锁?

安全无小事!这句话放在互联网行业依然很贴切。对企业而言,用户的数据信息就是发展的命脉。但是对安全领域稍微了解的人都有一个共识,那就是网络攻击者所使用的方法、技术和工具的发展速度都...

OneAPM蓝海讯通
2016/01/15
50
0
你的 Docker 应用是安全的吗?

近一年来,Docker 已经逐渐成为 container 界的事实标准,成为技术人员不可或缺的技能之一,就像 Docker 宣称的那样,「Build,Ship,and Run Any App,Anywhere」,容器极大简化了环境部署的...

OneAPM蓝海讯通
2016/01/21
19
0
如何保护 .NET 应用的安全?

自从 Web 应用能给访问者提供丰富的内容之后,黑客们就把目光转向任何他们能够破坏,损毁,欺骗的漏洞。通过网络浏览器提供的应用越来越多,网络罪犯们可以利用的漏洞数量也呈指数增长起来。...

OneAPM蓝海讯通
2016/03/11
21
0
于明:APU能否接力取代迟暮的X86?

图:AMD Fusion APU中国发布会   有作用力必然有反作用力,有光亮也必然有黑暗,有诚实也必然有欺骗,任何事物都具有两面性,而PC的核心处理器也不例外,存在着“真融合”与“假融合”之分...

技术小美
2017/11/13
0
0
用 Webgoat 撬动地球,看安全测试的引路石!

测试工程师是很多人迈进软件行业的起点。从负责很小的局部到把握整个产品的质量,每个人花费的时间长短不一——从功能到性能、可用性到容错性、从兼容性到扩展性、稳定性到健壮性……方方面面...

OneAPM蓝海讯通
2016/01/19
26
0

没有更多内容

加载失败,请刷新页面

加载更多

一起来学Java8(三)——方法引用

在一起来学Java8(一)——函数式编程中有一个简单的函数式编程的例子: import java.util.function.Consumer;class Person { public static void sayHello(String name) { S...

猿敲月下码
6分钟前
4
0
读书笔记:深入理解ES6(十一)

第十一章 Promise与异步编程   Promise可以实现其他语言中类似Future和Deferred一样的功能,是另一种异步编程的选择,它既可以像事件和回调函数一样指定稍后执行的代码,也可以明确指示代码...

张森ZS
29分钟前
9
0
面试官,Java8 JVM内存结构变了,永久代到元空间

在文章《JVM之内存结构详解》中我们描述了Java7以前的JVM内存结构,但在Java8和以后版本中JVM的内存结构慢慢发生了变化。作为面试官如果你还不知道,那么面试过程中是不是有些露怯?作为面试...

程序新视界
37分钟前
25
0
Elasticsearch 实战(一) - 简介

官腔 Elasticsearch,分布式,高性能,高可用,可伸缩的搜索和分析系统 基本等于没说,咱们慢慢看 1 概述 百度:我们比如说想找寻任何的信息的时候,就会上百度去搜索一下,比如说找一部自己喜...

JavaEdge
42分钟前
18
0
【jQuery基础学习】11 jQuery性能简单优化

本文转载于:专业的前端网站➦【jQuery基础学习】11 jQuery性能简单优化 关于性能优化 合适的选择器 $("#id")会直接调用底层方法,所以这是最快的。如果这样不能直接找到,也可以用find方法继...

前端老手
51分钟前
18
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部