您当前的位置:偶偶电脑知识网 -> 电脑初学 -> 电脑内容-> 漏洞之一:Struts漏洞后果会很严重

漏洞之一:Struts漏洞后果会很严重

漏洞之一:Struts漏洞后果会很严重


在道哥看来,Struts这个漏洞这次来势之所以这么凶猛,和Struts官方不负责任的态度有很大关系。官方这次在自己的漏洞公告中直接把漏洞利用代码给贴出来了,这是一种很罕见的做法。

AD:2013云计算架构师峰会超低价抢票中

Struts这个漏洞这次来势之所以这么凶猛----直接导致国内的很多银行、政府机构、几乎所有的大中型互联网公司,国外的包括苹果的开发者网站都被黑掉了----和Struts官方不负责任的态度有很大关系。官方这次在自己的漏洞公告中直接把漏洞利用代码给贴出来了,这是一种很罕见的做法。

从很多年前起,安全行业里默认的行规是“提示漏洞存在,但只公布描述,不公布细节”。大多数安全公告连漏洞涉及的代码都不公布,更遑论直接给出漏洞利用方法的。这样做的原因就是防止漏洞细节被黑客看到后,直接利用漏洞攻击用户。

一般的安全厂商在看到漏洞公告后,可能会通过“补丁对比”,或者是二进制软件的逆向分析等技术来定位漏洞的原理。这对分析人员的技术要求是非常高的,熟练掌握这种技术的人一般都有个外号,叫做“大牛”。这种技术门槛从一定程度上遏制了漏洞被大面积利用。

从历史来看,一个漏洞对互联网的影响大小,与该漏洞是否存在傻瓜化利用工具有关。漏洞的利用工具被传播的越广,对互联网来说造成的影响就越大。因为会有很多脚本小子,拿着傻瓜化的工具肆无忌惮的四处搞破坏。

Struts这个漏洞这次本来不会这么严重,过往有些比这更严重的漏洞也没有造成这么恶劣的影响。但官方不负责任的披露了漏洞利用方法,首先就让这个漏洞被大面积利用成为可能。然后国内的黑客们看到后,在某社区里引起了热烈的讨论。接下来有不少黑客,利用官方给出的“帮助”,很轻松的就写出了自动利用的工具,并开始找网站漏洞。

[1] [2] [3]  下一页