快上网专注成都网站设计 成都网站制作 成都网站建设
成都网站建设公司服务热线:028-86922220

网站建设知识

十年网站开发经验 + 多家企业客户 + 靠谱的建站团队

量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决

Struts2框架站点风险的示例分析

这期内容当中小编将会给大家带来有关Struts2框架站点风险的示例分析,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。

创新互联专注于企业全网营销推广、网站重做改版、苏尼特右网站定制设计、自适应品牌网站建设、HTML5商城网站建设、集团公司官网建设、外贸网站建设、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为苏尼特右等各大城市提供网站开发制作服务。

1.     概述

Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,后来成为ASF的顶级项目。它通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller〔MVC〕设计模式的应用框架〔Web Framework〕,是MVC经典设计模式中的一个经典产品。 

在Java EE的Web应用发展的初期,除了使用Servlet技术以外,普遍是在JavaServer Pages(JSP)的源代码中,采用HTML与Java代码混合的方式进行开发。因为这两种方式不可避免的要把表现与业务逻辑代码混合在一起,都给前期开发与后期维护带来巨大的复杂度。为了摆脱上述的约束与局限,把业务逻辑代码从表现层中清晰的分离出来,2000年,Craig McClanahan采用了MVC的设计模式开发Struts。后来该框架产品一度被认为是最广泛、最流行JAVA的WEB应用框架

   Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架

2.     漏洞盘点

2.1.  漏洞历史

随着Struts2框架的普及,越来越多的企业单位使用Struts2框架进行开发,近年来多次爆出高危漏洞,多个政府站点,银行、大型互联网公司等单位,受到影响,例如:2016年12月爆出京东 12G 用户数据泄露,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条,究其原因源于 2013 年 Struts 2 的安全漏洞问题。当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露,而每次struts2爆出漏洞后各大互联网漏洞平台也接收到多个反馈如:


Struts2框架站点风险的示例分析

Struts2的代码执行问题最早要追溯到2010年,当时来自Google安全Team的Meder Kydyraliev发现可以通过用unicde编码的形式绕过参数拦截器对特殊字符“#”的过滤,造成代码执行问题,官方漏洞编号S2-003,

回顾struts2的漏洞历史,我们发现官方难辞其咎,首先,开发人员安全意识不强,虽然采取了基本的安全措施,但是形同虚设。其次,官方修复力度不够,给我们的感觉总像是在敷衍了事,未能从根本上解决问题。再就是,官方的开放精神确实很震撼,竟然直接将漏洞的PoC挂在官网,这样给了很多人进一步研究漏洞利用的机会,这个也是导致问题更加严重的一个原因。

2.2.  struts2漏洞盘点

影响比较大,利用比较广泛的struts2漏洞:

CVE-2010-1870XWork ParameterInterceptors bypass allows OGNLstatement execution

CVE-2012-0392struts2 DevMod Remote Command Execution Vulnerability

CVE-2011-3923Struts<=2.3.1参数拦截器代码执行

CVE-2013-1966Struts2 <= 2.3.14 includeParams属性远程命令执行漏洞

CVE-2013-2251Struts2 <= 2.3.15.1 action、redirect、redirectAction前缀远程命令执行漏洞

Struts2 <=2.3.16 DoS attacks and ClassLoader manipulation

Struts2 <=2.3.16.1 bypass patch(ClassLoader manipulation)

CNVD-2016-02506,CVE-2016-3081,受影响版本Struts 2.3.20 - StrutsStruts 2.3.28(2.3.20.3和2.3.24.3除外)

CVE编号:CVE-2016-4438 Struts(S2-037)远程代码执行漏洞,受影响版本:Struts 2.3.20 - Struts Struts 2.3.28.1

CVE-2017-5638 受影响版本:Struts 2.3.5 – Struts 2.3.31

Struts 2.5 –Struts 2.5.10

其他具体可参照struts2官网提供的漏洞历史:

https://cwiki.apache.org/confluence/display/WW/Security+Bulletins

Struts2框架站点风险的示例分析

3.     分布情况

针对漏洞频发的Struts2框架我们对省内使用Struts框架的分布情况进行了调查统计,通过对个地市站点进行指纹识别,绘制出省内各地市使用Strust2框架分布图表如下:


Struts2框架站点风险的示例分析

   结合大数据分析和关键字识别我们对采集到的使用Strust2站点所在的行业情况进行分析,绘制出如下图表:


Struts2框架站点风险的示例分析

具体表格数据:

序号 行业类型 数量 百分比 
1  政府部门  447  28.29%  
2  教育机构  155  9.80%  
3  金融行业  110  6.96%  
4  保险行业  28  1.77%  
5  证券行业  14  0.88%  
6  能源行业  8  0.50%  
7  交通行业  93  5.88%  
8  电信运营商  114  7.21%  
9  互联网企业  398  25.18%  
10  其他企业  213  13.48%  

从上图可以看出位于前三位(注:不计其他企业)的是政府部门(占比28.29%)、互联网企业(25.18%)、教育机构(9.8%)

   我们针对采集到的使用Struts2中间件站点进行漏洞检测,本次使用互联网上影响比较大的几个高危漏洞进行验证,检测漏洞(S2-045、S2-037、S2-032、S2-016)的存在修复个加固情况,经过对1580个站点样本进行检测,发现仍然有部分站点Struts2漏洞并未修复,对检测出漏洞的站点统计信息如下图:

序号行业存在漏洞数量
1政府部门3
2教育机构2
3金融行业1
4互联网企业2
5其他2

检测中我们发现有很多网站Stuts2之前的老漏洞尚未进行过修复,从而在Stuts2漏洞的中,将网站注册用户赤裸裸地暴露在黑客攻击枪口面前。

4.     安全建议

面对日益复杂的形势,信息安全已经成为一个不仅仅只关乎技术的问题。科技的发展是一把双刃剑,其能造福人类,亦能产生破坏性的功效。而这一点,除了技术本身之外,或许更多的要从我们的意识层面去把握,面对漏洞带来如此之大的影响,足以给互联网业界信息安全从业人员带来警醒:信息安全的警钟,应时刻长鸣。

1、我们在信息系统开发中应养成良好的开发习惯,多数漏洞从开发阶段就存在,而由于开发过程中的疏忽,逻辑漏洞等也会给系统带来很大的安全风险。

2、网站数据及时备份,在系统遭到攻击时,可以第一时间对被攻击系统进行恢复。

3、对后台服务安装防病毒软件,定时对服务器进行病毒查杀,等安全检查。

4、实时留意最新的互联网漏洞情况,对信息系统存在的漏洞进行及时修补。

5、经常性的对系统进行渗透测试,漏洞测试等工作,及时发现问题,及时修复,防止漏洞暴露在互联网上。

6、对不在使用的系统进行及时下线,一般老系统中存在更多的安全问题,管理不善可能会泄露大量敏感信息。

上述就是小编为大家分享的Struts2框架站点风险的示例分析了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注创新互联行业资讯频道。


当前文章:Struts2框架站点风险的示例分析
URL分享:http://6mz.cn/article/ijgocp.html

其他资讯