|
|---|
|
|
|
|
|
|
F*V
发帖数: 3978 | 1 网际网络再曝惊天漏洞 电商网站或成重灾区
2013-07-25 11:38:55
中评社香港7月25日电/苹果沦陷、淘宝沦陷、网易沦陷、乐蜂沦陷、百合网沦陷
……近日,一个名为“Struts 2”的安全漏洞不仅让众多知名网站陷入安全危机,也
让金山安全中心、瑞星网际网路攻防实验室、360网际网路安全中心等信息安全防护机
构同时拉响了红色警报。
什么是Struts 2?据《南方日报》报道,这是多个存在于网站应用框架Struts中
的底层软件漏洞,这个漏洞影响力很大却偏偏利用难度低,利用该漏洞,“菜鸟”也可
以使用攻击工具直接控制网站服务器,盗取用户数据库,获取网站注册用户的账号密码
和个人资料。也正是因此,“Struts 2”被网际网路安全领域人士看作是“网际网路
历史上又一重大安全危机”。
Struts 2漏洞恐危及多家电商
据南方日报记者了解, Struts是Apache基金会Jakarta项目组的一个开源项目,
它采用MVC 模式,帮助java开发者利用J2EE开发Web应用。目前,Struts广泛应用于大
型网际网路企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。瑞星
安全专家介绍,本次曝出的2个漏洞是由于缩写的导航和重定向前缀“action:”、“
redirect:”、“redirectAction:”造成的。瑞星安全专家表示,由于这些参数前缀
的内容没有被正确过滤,导致黑客可以通过漏洞执行命令,获取目标服务器的信息,并
进一步取得服务器最高控制权。届时,被攻击网站的数据库将面临全面泄密的威胁,同
时黑客还可以通过重定向漏洞的手段,对其他网民进行钓鱼攻击或挂马攻击。
360安全专家石晓虹博士在接受采访时表示,由于Struts 2属于底层框架,其漏洞
影响范围广、利用难度低,“菜鸟”也可以使用攻击工具直接控制网站服务器,盗取用
户数据库。“2011年底多家网站‘密码库’泄露事件有可能再次上演。”据资料显示,
2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄
露。随后,CSDN“密码外泄门”持续发酵,天涯、世纪佳缘、人人网等网站相继被曝用
户数据遭泄密。天涯网更发布致歉信,称天涯4000万用户隐私遭到黑客泄露,据统计,
CSDN“密码外泄门”造成超过1亿账号密码被曝光在网上。而如今Struts 2漏洞更被不
少业内人士看作是CSDN“密码外泄门”后,中国网际网路领域中又一次大量用户个人信
息泄露的“惨剧”。南方日报记者在一份“乌云网公布的存在漏洞的网站名单”内看到
,受Struts 2漏洞影响的网站不乏天极网、百合网、网易、17173、乐蜂网等国内知名
网际网路网站。而据金山安全专家表示,由于国内大量电子商务网站基于Struts建设,
在这次Struts 2漏洞风暴中或将沦为重灾区。
意识漏洞比技术漏洞更可怕
“网际网路数据大规模被泄露,这种情况已经存在很长时间,长久以来国内整个信
息系统都存在着问题。这是所有的网络公司存在的问题。”CSDN总裁蒋涛曾经就国内网
际网路安全问题发表过自己的看法,“第三方数据安全审计公司对各网站的扫描结果显
示,80%以上的网际网路公司都存在着漏洞,有安全策略的公司60%以上还存在着漏洞,
这是我们网际网路的现状。”蒋涛认为国内网际网路公司当前普遍存在两个现状,一是
重视业务,二是缺乏安全意识,对于数据安全和系统安全认识不够。
有安全领域专家在接受记者采访时就表示,Struts 2漏洞并非第一次爆发,类似
的问题其实一直都存在于网际网路领域内,但是由于之前并未被黑客加以利用而造成太
大影响,所以让很多网站的安全管理人员不够重视并心存侥幸。据南方日报记者了解,
国内大量的网站均存在该漏洞,但大部分网站连Stuts 2之前的老漏洞都尚未进行过修
复,而在本次Struts 2漏洞出现后,使得用户的个人信息成为了黑客眼中的“鱼肉”
。
“我们金山毒霸能做的比较有限。”作为网际网路安全软件,金山网络相关负责人
在接受南方日报记者采访时坦言,在面对类似Struts 2漏洞的网络安全威胁时,一般
的网际网路安全软件的作用仅仅是提醒用户,但是主动能够提供的防御非常有限。有安
全领域专家表示,目前还没有确切证据标明已经有大型网站的数据库被拖库(拖库是指
将从数据库导出数据,各大网站通常会将数据库进行加密,黑客会将这些数据库破解并
获得数据),而黑市上也没有新的数据库出现,主要是由于Struts 2漏洞公开的时间
不长,影响可能要到几个月后才会显现。
面对新漏洞,我们怎么防?
瑞星安全专家提醒广大网站管理员,应到Struts 2的官方网站下载最新的补丁程
序,尽快将Struts 2升级到最新的2.3.15.1版本,以避免可能遭遇的严重安全威胁。
金山毒霸提醒普通网民高度注意以下两点:1.近期需要特别重视防骗:可能会有攻
击者利用泄露出来的网民个人信息大量行骗。2.建议修改重要的网站登录密码(如购物
网站、重要电子邮箱等),有一个密码通行所有网站的用户必须改变这种不良习惯,因
攻击者可以轻易使用原来的密码去尝试登录更多网络服务。 |
|
|
|
|
|
|
