前天晚上(4月26日),中国互联网遭遇了一场服务器安全性的巨大挑战:Struts 2漏洞!
2016年4月21日Apache官方发布了安全公告(官方编号S2-032/CVE编号CVE-2016-3081),Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。这一漏洞影响的软件版本为2.3.20-2.3.28。这是自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模漏洞。
国内权威安全众测平台 “乌云漏洞报告平台” 已收到100多家网站的相关漏洞报告,其中互联网金融、电商、基础服务企业占了很大比例(甚至银行也未幸免)。
Struts2漏洞怎么解决
Struts2是Apache项目下的一个web 框架(Apache Struts 2是世界上最流行的Java Web服务器框架之一。),普遍应用于阿里巴巴、京东等互联网、政府、企业门户等大中型网站。
其实在2013年6月底发布的Struts 2.3.15版本也被曝出存在重要的安全漏洞,当时的主要问题如下:①、可远程执行服务器脚本代码
用户可以构造http://host/struts2-blank/example/X.action?action:%{(new java.lang.ProcessBuilder(new java.lang.String[]{'command','goes','here'})).start()}链接,command goes here可以换成是破坏脚本的路径和参数,比如fdisk -f等,造成破环系统无法运行的目的。
②、重定向漏洞
用户可以构造如知名网站淘宝的重定向连接,形如<a href="http://www.淘宝.com/item00001.html?redirect:http://黑客/getyourPassword">打折新款</a>,引导用户点击后进入钓鱼网站,在界面上让其进行登陆用以获取用户的密码。
最新Struts2漏洞解决办法
①、禁用动态方法调用
修改Struts2的配置文件,将“struts.enable.DynamicMethodInvocation”的值设置为false,比如:
<constant name="struts.enable.DynamicMethodInvocation" value="false" />;
②、升级软件版本
如果条件允许,可升级Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1,这几个版本都不存在此漏洞。
升级地址:https://struts.apache.org/download.cgi#struts23281
终极解决办法:换云服务器
说来说去,服务器的安全问题主要体现在两块:DDoS攻击和漏洞攻击。换安全有保障的云服务器才是王道。国内很多云服务器都对安全问题都有很好的技术防范、预测、处理方案,比如 UCloud云计算。
UCloud 的优盾服务拥有5大安全模块:
①基础安全服务
基础安全服务是为使用UCloud弹性IP的用户提供基础的安全服务,弹性IP可与云主机、云路由、负载均衡绑定。当这些绑定弹性IP的设备遭受到DDoS攻击、暴力破解、异地登陆这些攻击时,系统会进行记录和分析,帮助用户排查安全隐患。
②Web应用防护
UCloud云WAF通过一系列针对Web应用的安全策略来专门为Web应用保驾护航。能够检测并阻断常用的Web扫描攻击、Web漏洞攻击、SQL注入攻击、XSS攻击、远程命令执行、CC攻击等一系列攻击。专业安全团队及时漏洞响应,规则不定期更新,为您的Web应用提供专业保护。
③入侵防御系统
UCloud云IPS以全面深入的协议分析为基础,通过协议分析引擎动态地分析报文中包含的协议特征,能够快速、准确地检测出四到七层的恶意系统扫描、暴力猜测、系统漏洞攻击、缓冲区溢出攻击、应用程序攻击、蠕虫病毒、后门木马等恶意攻击行为,并能够对攻击进行实时阻断。专业安全团队及时漏洞响应,规则不定期更新,为您的主机提供专业保护。
④高防服务
高防为已备案的域名或源站IP(包括非UCloud的弹性外网IP)提供DDoS攻击防护。当用户的域名或源站IP(包括非UCloud的弹性外网IP)在遭受大流量的DDoS攻击时,可以通过高防IP代理源站IP面向用户,隐藏源站IP,将攻击流量引流到高防IP,确保源站的稳定正常运行。
⑤云加密服务
云加密服务(UCloud encrypt service)通过使用经国家密码管理局检测认证的硬件密码机,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性和机密性。借助加密服务,用户可以进行安全的密钥管理,并使用多种加密算法来进行加密运算。用户不必再为繁复的设备集成与管理工作耗费额外的精力,仅需要申请相应规模的密码服务即可。
加速会:加速你对世界的理解,内幕全在这里!请关注加速会微信公号:jiasuhuihao
加速会主编微信:leaderweb
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
