欧美乱码精品一区二区三区,风流少妇又紧又爽又丰满,被债主在夫面前人妻被强,国产精品视频永久免费观看

2016年4月26日，繼2012年Struts2命令執(zhí)行漏洞大規(guī)模爆發(fā)后，該服務(wù)時隔四年再次爆發(fā)大規(guī)模漏洞。Apache Struts2官方給出的安全公告中聲明：Apache Struts2 服務(wù)在開啟動態(tài)方法調(diào)用的情況下可以遠程執(zhí)行任意命令，官方編號 S2-032，CVE編號 CVE-2016-3081。

Apache Struts2是現(xiàn)在互聯(lián)網(wǎng)行業(yè)最流行的java web框架之一，廣泛運用于政府、金融、證券、保險等行業(yè)，當(dāng)該漏洞公布短短幾小時內(nèi)，已經(jīng)有大量的漏洞利用腳本在互聯(lián)網(wǎng)廣為傳播，只要Struts2服務(wù)開啟了動態(tài)方法調(diào)用，那么漏洞利用者便可以：

·對服務(wù)器進行遠程操作，將企業(yè)的核心環(huán)境完全暴露在入侵者眼前

·控制終端主機，如同無形的黑手影響每一筆交易，每一次交互

·威脅核心數(shù)據(jù)庫安全，導(dǎo)致批量數(shù)據(jù)泄露，敏感信息篡改，傳統(tǒng)安全手段形同虛設(shè)

此次漏洞的影響范圍包括了web服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫服務(wù)器三個層面

web服務(wù)器

web服務(wù)器是本次漏洞攻擊首當(dāng)其的位置，當(dāng)入侵者利用該漏洞進行攻擊時，可從獲取合法用戶名和密碼入手，逐級深入，直至獲取web應(yīng)用服務(wù)器的管理權(quán)限，甚至在合法的web服務(wù)器上注入入侵者自己的應(yīng)用代碼。

操作系統(tǒng)

相比針對web服務(wù)器的攻擊行為，Struts2漏洞對于操作系統(tǒng)層面的攻擊會導(dǎo)致更加嚴(yán)重的后果。入侵者以web服務(wù)器為跳板，直接入侵系統(tǒng)內(nèi)部位于網(wǎng)絡(luò)防火墻后端的內(nèi)網(wǎng)主機，不僅可以對內(nèi)網(wǎng)做出嗅探，還可能對內(nèi)部應(yīng)用服務(wù)器進行惡意篡改，或者進行惡意掛馬。

數(shù)據(jù)庫

當(dāng)入侵者突破了web應(yīng)用和內(nèi)網(wǎng)主機的限制后，數(shù)據(jù)庫服務(wù)器就以不設(shè)防的形態(tài)展現(xiàn)在入侵者面前。入侵者可以獲取到應(yīng)用服務(wù)器配置文件中的數(shù)據(jù)庫用戶名和密碼并直接登錄數(shù)據(jù)庫篡改信息，或者將數(shù)據(jù)庫存儲文件導(dǎo)出竊取，造成批量數(shù)據(jù)泄密。 

阿里云平臺給出的調(diào)研結(jié)果，針對該漏洞產(chǎn)生的攻擊從26日當(dāng)日11點開始，在19點呈現(xiàn)爆發(fā)趨勢，截止26日晚24時，已經(jīng)統(tǒng)計到的攻擊次數(shù)突破了26000次，這里面遭受攻擊的有企業(yè)用戶，政府機構(gòu)，金融行業(yè)，雖然官方及時發(fā)布了修復(fù)補丁和直接攔截該漏洞的防護代碼，但是其影響力和造成的破壞卻不容我們忽視。