私募

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz

令京东栽了跟头的struts是什么?一文看懂数据泄露根源

[复制链接]
发表于 2019-6-13 00:52:34 | 显示全部楼层 |阅读模式
针对网传的京东12G用户数据泄漏变乱,12月11日,京东方面临腾讯财经独家回应称,该数据源于此前2013年Struts 2的安全弊端,现在京东另有“极个别”体系使用Struts2框架,但已颠末妥善升级,“暂不会出现安全标题”。

" B% @; h, \1 s* J
12月11日,自媒体“一本财经”报道称,一个京东的12G 数据包近期在暗盘上流通,此中包罗用户名、暗码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。随后也有京东用户反映,自己的京东白条近期被盗刷。
* I! D8 p1 m  R8 U' u. J/ K' c# H, r
京东对此回应称,经信息安全部门开端判定,该数据源于此前“2013年Struts 2的安全弊端标题”,并表现,其时国内险些全部互联网公司及大量银行、当局机构都受到了影响,导致大量数据泄漏。

0 P1 P* N. x! p: J. B, o. Z& N
12月11日,京东方面临腾讯财经表现,在Struts 2的安全标题发生后,京东就完成了体系修复,并分析出大概受到安全威胁的用户账户,升级安全体系,同时提示风险用户升级安全步调。现在京东仍有少数体系应用此框架,但使用范围紧张在公司内部。

( j; w. j3 n* o" W, i8 b
但对于为何2013年的体系弊端,在近期被发现有用户信息被泄漏的情况,京东方面并未正面回应。京东称,在没有拿到自媒体所报道的数据库前,无法给出更加具体的信息。

7 f2 O: c  n" G
Struts2是什么?
: _0 s' C. a/ e. j
Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、当局、金融机构等网站创建,并作为网站开辟的底层模板使用。

/ h% W% c" L0 J  l
Struts 2是Struts的下一代产物,是在Struts 和WebWork的技能底子上举行归并,形成的全新框架。

. Z! p. ^  F) I1 J
2013年7月17日,Struts2曾出现高危弊端。包罗国内很多着名网站在内的大量网站,受到此弊端差别水平的影响。攻击者可以使用该弊端实验恶意java代码,终极导致网站数据被偷取、网页被篡改等严峻效果,使网站及网民安全受到了极大的威胁。

0 u' r" m. K, Q
国内一家大型互联网企业的技能开辟职员对腾讯财经表现,Struts是基于Java语言的一款开源框架,雷同基于PHP语言的Yii和Laravel。

3 W1 l% E% \" F* q' h
“前人在使用底子语言举行操纵时发现了共性,便将底子性的内容提取,于是就有了框架。而开源框架指的是,不但给你框架,还将这个框架的搭建方法,以及源码一并给你。”上述开辟职员对腾讯财经表现,在此底子上,任何人都可以根据须要更改框架,乃至还可以在此过程中发现框架的不敷与弊端。

) `2 k( j5 q0 x
该人士提到,Java语言的开辟服从低于PHP,但是运行速率优于后者,相对来说更得当项目较大的体系。国内的电商平台一样平常都使用 Java语言, 比方淘宝、京东。
. [$ s$ x0 a8 T( c: j( _5 E: W) N1 ]
腾讯财经从蚂蚁金服一位负责开辟的人士处相识到,固然蚂蚁金服方面以及阿里巴巴团体业务团队的开辟语言根本以JAVA为主,但很早就不再使用Struts框架。缘故因由紧张是Struts框架自己存在安全弊端,前后端分离,且该技能早就过期。

/ e( D  l- |  _
上述人士对腾讯财经表现,现在Java开辟主流的框架是spring mvc,包罗各家在spring的底子上自己研发的定制框架。
, Y) w' I7 ^2 V4 V8 h! Z3 ~
风险安在?

1 |3 L% ^7 c* _. l
针对“框架风险对于体系安全性威胁”的话题,一家上市互联网企业的步调开辟职员对腾讯财经表现:“框架就像是一个柜子,外貌已经在那里了,怎么隔层,放哪些东西都是由你自己决定。隔层、放置的东西都是小标题,但是若框架出现标题,那影响就是根天性的了。”

. T3 `$ @) z/ _) d
他提到,雷同Struts2在2013年出现的高危弊端,假如框架自身安全性存在标题,体系就极轻易被攻击,以是有财力、本事的人通常都自造框架。
' u4 d9 E: A7 ^% L2 I4 d
“但是很多步调员面临的标题是,公司要求快速迭代,产物来日诰日要上线,你本日还要写框架,费时费力,索性就直接借助开源框架。”他说。
% c0 @  u4 t# v- n+ b& \
据其先容,Struts 2官方早先曾就框架大概存在的安全弊端举行了声明。开辟职员在运用该框架编写代码时,须要举行须要的安全处置惩罚。
, o6 V% `' S$ a
; M* ?" L2 l9 X" I3 G

2 p. j  ?* r9 D$ J- A  X2 K
Struts2官方提示安全弊端

! X$ M( O) E: _0 j# u7 M3 w$ M6 V
比方,当出现弊端是,Struts会提示用户升级,但若临时无法升级,体系会发布最高安全品级为“紧张”或是“极其紧张”不等的提示,并会附上相应的管理步调。

* o6 h; d( A0 i/ z0 o
% F4 j& v! w  W# n6 q" w
6 j! c4 e; F' W" `+ q
最高安全品级为紧张
, s, F+ T- s9 X! ]# }

. b, z* L' F7 K* z5 b9 c1 ~/ u# |5 C! M
( [& r( Y: G$ R7 [
相应的管理步调

5 Y; D6 c) D7 g$ O# m- @+ p' Y0 j, O4 K, g2 d
6 N: |+ g8 N6 `  _# s; g

" s( [! B$ ~$ i/ Y
, x; b# k2 o& Z+ p" T
全部Struts2开辟职员必读,最高安全品级为“极为紧张”的安全提示
9 d( E( N0 l1 p% n' E/ L9 \5 L1 \
“这就像是已经告诉你,冬天很轻易感冒,要多穿点衣服。但假如你还是少穿衣服,没有应用这个安全处置惩罚步调,那感冒就怪不了别人了。”上述开辟职员说。

5 A: l; D5 _4 B; C
据相识此前2013年7月,Struts 2 曾存在2个高危弊端,这些弊端可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。据媒体报道,其时有7成大型互联网公司及当局构造受到该弊端影响。
( R4 M- {0 ^5 x) n
金融银行类网站此前是重灾区

: r) p/ ^3 j  T5 [) O# g5 p5 D
对于现在Struts框架的应用状态,前文所述蚂蚁金服方面开辟人士对腾讯财经表现,现在仍使用Struts的公司不在少数,此中大多数都由于技能惰性,不乐意改进原来可用的技能方案。
8 l6 t3 s9 l$ M0 a/ x2 r* T  x: l
“Struts在早期是Java后端开辟很成熟的管理方案,被大量接纳,厥后一连发作了不少标题和弊端,但是企业要重新更换团体框架,不管是在技能层面,还是运营层面,都有不少阻力。”他说。
1 ~1 X* h1 [: m) J: L6 a& u
据乌云平台弊端陈诉,2013年Struts2出现高危弊端之后,淘宝、京东等大型互联网厂商均受此影响,而且弊端使用代码已经被强化,可直接通过欣赏器的提交对服务器举行恣意操纵并获取敏感内容。
& d% W. I( J: X2 h  h. E( H
同时Struts弊端影响巨大,受影响站点以电商、银行、流派、当局居多。此中,金融银行类网站更是成为此次弊端的重灾区。
& H+ w6 d8 b8 h
对此上述人士以为,在Struts框架曝出大量弊端,渐渐被新技能代替后,仍有不少银行机构由于技能反应较慢相沿此技能。“早期的网银优盾等本事,都是通过设置更多的人为停滞来减小安全风险。银行之外,像京东如许让用户修改暗码,实在不能克制用户信息泄漏,只能说是增强对于暗码的掩护。”

" S8 H" n* H$ [; k( ]
据“一本财经”此前援引业内人士说法,京东此次泄漏的数据已被贩卖多次,“至少有上百个黑产者手里把握了数据”。
  F* j2 T, Q8 c. V% ]/ w  {% ^
一位互联网企业旗下电商平台的技能职员对腾讯财经表现,已传播出去的信息,或存在着撬动其他数据的大概性。这是由于黑产者可借此举行进一步的“撞库”操纵。

2 W& j9 J1 P( b
撞库是指,黑客通过网络互联网已泄漏的用户和暗码信息,天生对应的字典表,实验批量登岸其他网站后,得到一系列可以登录的用户信息。
( g  z( R2 O/ V. s, q5 I5 X
据其先容,一样平常情况下体系在数据库中存储用户暗码时,并非存储暗码原文,而是存储经MD5、Sha1等加密处置惩罚之后的数据。若获取了暗码的加密串,则可通过反编译的情势获取暗码的原文。

9 E' H, h/ `+ U% h% p+ q# |
“颠末加密处置惩罚后,破解暗码通常须要较长时间。但是若暗码已经在数据库中被解密,相较于新暗码,黑客通常可以瞬间就破解掉。”该人士说。

( S) A( H9 w5 d% @
据相识。很多用户在差别网站使用的是雷同的帐号暗码,因此黑客可以通过获取用户在A网站的账户,从而实验登录B网址。
http://www.simu001.cn/x108336x1x1.html
最好的私募社区 | 第一私募论坛 | http://www.simu001.cn

精彩推荐

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|Archiver| ( 桂ICP备12001440号-3 )|网站地图

GMT+8, 2025-11-1 10:14 , Processed in 1.029716 second(s), 27 queries .

Powered by www.simu001.cn X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表