近日,爆出了一个Java Web框架 --- Struts 2 ----的远程执行漏洞,利用这个漏洞可以上传后门,黑掉一个网站或者是盗取用户数据。漏洞的利用代码已经公开。因为使用Struts 2开发的网站非常多,包括很多大网站,所以这个漏洞影响面非常广。Struts已经不是第一次出这种漏洞了,其维护者的安全意识非常薄弱,经常漠视或者是不正确的处理安全问题。
今天下午整个中国的黑客圈像疯了一样开始利用这个漏洞黑网站,下面这几张图是部分白帽子检测了一些大网站后提交到乌云平台的报告,大家可以感受一下。
很多朋友之前问我在创业做什么,我所在的公司安全宝就是做云安全服务的,同时在保护数万个网站,所以对这样的漏洞非常敏感。
估计中国互联网又要遭遇一次浩劫,很多网站会被“拖库”,这些大网站的数据库里包括了各位读者们的姓名、手机号、邮箱,有的还有住址、身份证等隐私数据。
