神刀安全网

昨天晚上中国互联网被Struts2漏洞血洗,互联网金融企业损失严重,服务器安全性怎么才能保证?

昨天晚上中国互联网被Struts2漏洞血洗,互联网金融企业损失严重,服务器安全性怎么才能保证?

昨天晚上(4月26日),中国互联网遭遇了一场服务器安全性的巨大挑战:Struts 2漏洞!

2016年4月21日Apache官方发布了安全公告( 官方编号S2-032 /CVE编号CVE-2016-3081),Apache Struts2 服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。这一漏洞影响的软件版本为2.3.20-2.3.28。这是自2012年 Struts2 命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模漏洞。

昨天晚上中国互联网被Struts2漏洞血洗,互联网金融企业损失严重,服务器安全性怎么才能保证?

昨天晚上中国互联网被Struts2漏洞血洗,互联网金融企业损失严重,服务器安全性怎么才能保证?

国内权威安全众测平台 “乌云漏洞报告平台” 已收到100多家网站的相关漏洞报告,其中互联网金融、电商、基础服务企业占了很大比例(甚至银行也未幸免)。

昨天晚上中国互联网被Struts2漏洞血洗,互联网金融企业损失严重,服务器安全性怎么才能保证?

Struts2漏洞 怎么解决

Struts2是Apache项目下的一个web 框架(Apache Struts 2是世界上最流行的Java Web服务器框架之一。),普遍应用于阿里巴巴、京东等互联网、政府、企业门户等大中型网站。

  • 其实在2013年6月底发布的Struts 2.3.15版本也被曝出存在重要的安全漏洞,当时的主要问题如下:①、可远程执行服务器脚本代码

    用户可以构造http://host/struts2-blank/example/X.action?action:%{(new java.lang.ProcessBuilder(new java.lang.String[]{‘command’,’goes’,’here’})).start()}链接,command goes here可以换成是破坏脚本的路径和参数,比如fdisk -f等,造成破环系统无法运行的目的。

    ②、重定向漏洞

    用户可以构造如知名网站淘宝的重定向连接,形如<a href=”http://www.淘宝.com/item00001.html?redirect:http://黑客/getyourPassword”>打折新款</a>,引导用户点击后进入钓鱼网站,在界面上让其进行登陆用以获取用户的密码。

最新 Struts2漏洞 解决办法

①、禁用动态方法调用

修改Struts2的配置文件,将“struts.enable.DynamicMethodInvocation”的值设置为false,比如:

<constant name=”struts.enable.DynamicMethodInvocation” value=”false” />;

②、升级软件版本

如果条件允许,可升级Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1,这几个版本都不存在此漏洞。

升级地址:https://struts.apache.org/download.cgi#struts23281

终极解决办法:换云服务器

说来说去,服务器的安全问题主要体现在两块:DDoS攻击和漏洞攻击。换安全有保障的云服务器才是王道。国内很多云服务器都对安全问题都有很好的技术防范、预测、处理方案,比如 UCloud云计算。

UCloud 的优盾服务拥有5大安全模块:

①基础安全服务

基础安全服务是为使用UCloud弹性IP的用户提供基础的安全服务,弹性IP可与云主机、云路由、负载均衡绑定。当这些绑定弹性IP的设备遭受到DDoS攻击、暴力破解、异地登陆这些攻击时,系统会进行记录和分析,帮助用户排查安全隐患。

②Web应用防护

UCloud云WAF通过一系列针对Web应用的安全策略来专门为Web应用保驾护航。能够检测并阻断常用的Web扫描攻击、Web漏洞攻击、SQL注入攻击、XSS攻击、远程命令执行、CC攻击等一系列攻击。专业安全团队及时漏洞响应,规则不定期更新,为您的Web应用提供专业保护。

③入侵防御系统

UCloud云IPS以全面深入的协议分析为基础,通过协议分析引擎动态地分析报文中包含的协议特征,能够快速、准确地检测出四到七层的恶意系统扫描、暴力猜测、系统漏洞攻击、缓冲区溢出攻击、应用程序攻击、蠕虫病毒、后门木马等恶意攻击行为,并能够对攻击进行实时阻断。专业安全团队及时漏洞响应,规则不定期更新,为您的主机提供专业保护。

④高防服务

高防为已备案的域名或源站IP(包括非UCloud的弹性外网IP)提供DDoS攻击防护。当用户的域名或源站IP(包括非UCloud的弹性外网IP)在遭受大流量的DDoS攻击时,可以通过高防IP代理源站IP面向用户,隐藏源站IP,将攻击流量引流到高防IP,确保源站的稳定正常运行。

⑤云加密服务

云加密服务(UCloud encrypt service)通过使用经国家密码管理局检测认证的硬件密码机,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性和机密性。借助加密服务,用户可以进行安全的密钥管理,并使用多种加密算法来进行加密运算。用户不必再为繁复的设备集成与管理工作耗费额外的精力,仅需要申请相应规模的密码服务即可。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 昨天晚上中国互联网被Struts2漏洞血洗,互联网金融企业损失严重,服务器安全性怎么才能保证?

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址