數(shù)據(jù)安全治理關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫(kù)脫敏技術(shù)詳解
數(shù)據(jù)安全治理之API監(jiān)測(cè)系統(tǒng) ,解決API接口安全問(wèn)題【安華金和】
新一代數(shù)據(jù)庫(kù)脫敏技術(shù),為敏感數(shù)據(jù)建立保護(hù)盾!
數(shù)據(jù)庫(kù)脫敏系統(tǒng)與金融行業(yè)案例解讀
數(shù)據(jù)安全治理建設(shè)思路的著力點(diǎn)——數(shù)據(jù)安全咨詢服務(wù)【安華金和】
數(shù)據(jù)庫(kù)防火墻功能有哪些?-數(shù)據(jù)安全-安華金和
數(shù)據(jù)安全關(guān)鍵技術(shù)之?dāng)?shù)據(jù)庫(kù)脫敏技術(shù)詳解【安華金和】
中國(guó)數(shù)據(jù)安全治理落地指導(dǎo)書(shū)籍《數(shù)據(jù)安全治理白皮書(shū)5.0》正式發(fā)布(附下載)
2016年4月26日,繼2012年Struts2命令執(zhí)行漏洞大規(guī)模爆發(fā)后,該服務(wù)時(shí)隔四年再次爆發(fā)大規(guī)模漏洞。Apache Struts2官方給出的安全公告中聲明:Apache Struts2 服務(wù)在開(kāi)啟動(dòng)態(tài)方法調(diào)用的情況下可以遠(yuǎn)程執(zhí)行任意命令,官方編號(hào) S2-032,CVE編號(hào) CVE-2016-3081。
Apache Struts2是現(xiàn)在互聯(lián)網(wǎng)行業(yè)最流行的java web框架之一,廣泛運(yùn)用于政府、金融、證券、保險(xiǎn)等行業(yè),當(dāng)該漏洞公布短短幾小時(shí)內(nèi),已經(jīng)有大量的漏洞利用腳本在互聯(lián)網(wǎng)廣為傳播,只要Struts2服務(wù)開(kāi)啟了動(dòng)態(tài)方法調(diào)用,那么漏洞利用者便可以:
·對(duì)服務(wù)器進(jìn)行遠(yuǎn)程操作,將企業(yè)的核心環(huán)境完全暴露在入侵者眼前
·控制終端主機(jī),如同無(wú)形的黑手影響每一筆交易,每一次交互
·威脅核心數(shù)據(jù)庫(kù)安全,導(dǎo)致批量數(shù)據(jù)泄露,敏感信息篡改,傳統(tǒng)安全手段形同虛設(shè)
此次漏洞的影響范圍包括了web服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器三個(gè)層面
web服務(wù)器
web服務(wù)器是本次漏洞攻擊首當(dāng)其的位置,當(dāng)入侵者利用該漏洞進(jìn)行攻擊時(shí),可從獲取合法用戶名和密碼入手,逐級(jí)深入,直至獲取web應(yīng)用服務(wù)器的管理權(quán)限,甚至在合法的web服務(wù)器上注入入侵者自己的應(yīng)用代碼。
操作系統(tǒng)
相比針對(duì)web服務(wù)器的攻擊行為,Struts2漏洞對(duì)于操作系統(tǒng)層面的攻擊會(huì)導(dǎo)致更加嚴(yán)重的后果。入侵者以web服務(wù)器為跳板,直接入侵系統(tǒng)內(nèi)部位于網(wǎng)絡(luò)防火墻后端的內(nèi)網(wǎng)主機(jī),不僅可以對(duì)內(nèi)網(wǎng)做出嗅探,還可能對(duì)內(nèi)部應(yīng)用服務(wù)器進(jìn)行惡意篡改,或者進(jìn)行惡意掛馬。
數(shù)據(jù)庫(kù)
當(dāng)入侵者突破了web應(yīng)用和內(nèi)網(wǎng)主機(jī)的限制后,數(shù)據(jù)庫(kù)服務(wù)器就以不設(shè)防的形態(tài)展現(xiàn)在入侵者面前。入侵者可以獲取到應(yīng)用服務(wù)器配置文件中的數(shù)據(jù)庫(kù)用戶名和密碼并直接登錄數(shù)據(jù)庫(kù)篡改信息,或者將數(shù)據(jù)庫(kù)存儲(chǔ)文件導(dǎo)出竊取,造成批量數(shù)據(jù)泄密。
阿里云平臺(tái)給出的調(diào)研結(jié)果,針對(duì)該漏洞產(chǎn)生的攻擊從26日當(dāng)日11點(diǎn)開(kāi)始,在19點(diǎn)呈現(xiàn)爆發(fā)趨勢(shì),截止26日晚24時(shí),已經(jīng)統(tǒng)計(jì)到的攻擊次數(shù)突破了26000次,這里面遭受攻擊的有企業(yè)用戶,政府機(jī)構(gòu),金融行業(yè),雖然官方及時(shí)發(fā)布了修復(fù)補(bǔ)丁和直接攔截該漏洞的防護(hù)代碼,但是其影響力和造成的破壞卻不容我們忽視。
試用申請(qǐng)
在線咨詢
咨詢電話
TOP