中評社香港7月25日電/蘋果淪陷、淘寶淪陷、網易淪陷、樂蜂淪陷、百合網淪陷……近日,一個名為“Struts 2”的安全漏洞不僅讓眾多知名網站陷入安全危機,也讓金山安全中心、瑞星網際網路攻防實驗室、360網際網路安全中心等信息安全防護機構同時拉響了紅色警報。
什麼是Struts 2?據《南方日報》報道,這是多個存在於網站應用框架Struts中的底層軟件漏洞,這個漏洞影響力很大卻偏偏利用難度低,利用該漏洞,“菜鳥”也可以使用攻擊工具直接控制網站服務器,盜取用戶數據庫,獲取網站注冊用戶的賬號密碼和個人資料。也正是因此,“Struts 2”被網際網路安全領域人士看作是“網際網路歷史上又一重大安全危機”。
Struts 2漏洞恐危及多家電商
據南方日報記者了解, Struts是Apache基金會Jakarta項目組的一個開源項目,它採用MVC 模式,幫助java開發者利用J2EE開發Web應用。目前,Struts廣泛應用于大型網際網路企業、政府、金融機構等網站建設,並作為網站開發的底層模板使用。瑞星安全專家介紹,本次曝出的2個漏洞是由於縮寫的導航和重定向前綴“action:”、“redirect:”、“redirectAction:”造成的。瑞星安全專家表示,由於這些參數前綴的內容沒有被正確過濾,導致黑客可以通過漏洞執行命令,獲取目標服務器的信息,並進一步取得服務器最高控制權。屆時,被攻擊網站的數據庫將面臨全面泄密的威脅,同時黑客還可以通過重定向漏洞的手段,對其他網民進行釣魚攻擊或掛馬攻擊。
360安全專家石曉虹博士在接受採訪時表示,由於Struts 2屬于底層框架,其漏洞影響范圍廣、利用難度低,“菜鳥”也可以使用攻擊工具直接控制網站服務器,盜取用戶數據庫。“2011年底多家網站‘密碼庫’泄露事件有可能再次上演。”據資料顯示,2011年12月,CSDN的安全係統遭到黑客攻擊,600萬用戶的登錄名、密碼及郵箱遭到泄露。隨後,CSDN“密碼外泄門”持續發酵,天涯、世紀佳緣、人人網等網站相繼被曝用戶數據遭泄密。天涯網更發布致歉信,稱天涯4000萬用戶隱私遭到黑客泄露,據統計,CSDN“密碼外泄門”造成超過1億賬號密碼被曝光在網上。而如今Struts 2漏洞更被不少業內人士看作是CSDN“密碼外泄門”後,中國網際網路領域中又一次大量用戶個人信息泄露的“慘劇”。南方日報記者在一份“烏雲網公布的存在漏洞的網站名單”內看到,受Struts 2漏洞影響的網站不乏天極網、百合網、網易、17173、樂蜂網等國內知名網際網路網站。而據金山安全專家表示,由於國內大量電子商務網站基於Struts建設,在這次Struts 2漏洞風暴中或將淪為重災區。
|