欧美精品一区二区,体育生GAY白袜调教VIDEO,私人影院播放器,色偷偷AV老熟女色欲涩爱

2016年4月26日，繼2012年Struts2命令執(zhí)行漏洞大規(guī)模爆發(fā)后，該服務(wù)時(shí)隔四年再次爆發(fā)大規(guī)模漏洞。Apache Struts2官方給出的安全公告中聲明：Apache Struts2 服務(wù)在開(kāi)啟動(dòng)態(tài)方法調(diào)用的情況下可以遠(yuǎn)程執(zhí)行任意命令，官方編號(hào) S2-032，CVE編號(hào) CVE-2016-3081。

Apache Struts2是現(xiàn)在互聯(lián)網(wǎng)行業(yè)最流行的java web框架之一，廣泛運(yùn)用于政府、金融、證券、保險(xiǎn)等行業(yè)，當(dāng)該漏洞公布短短幾小時(shí)內(nèi)，已經(jīng)有大量的漏洞利用腳本在互聯(lián)網(wǎng)廣為傳播，只要Struts2服務(wù)開(kāi)啟了動(dòng)態(tài)方法調(diào)用，那么漏洞利用者便可以：

·對(duì)服務(wù)器進(jìn)行遠(yuǎn)程操作，將企業(yè)的核心環(huán)境完全暴露在入侵者眼前

·控制終端主機(jī)，如同無(wú)形的黑手影響每一筆交易，每一次交互

·威脅核心數(shù)據(jù)庫(kù)安全，導(dǎo)致批量數(shù)據(jù)泄露，敏感信息篡改，傳統(tǒng)安全手段形同虛設(shè)

此次漏洞的影響范圍包括了web服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器三個(gè)層面

web服務(wù)器

web服務(wù)器是本次漏洞攻擊首當(dāng)其的位置，當(dāng)入侵者利用該漏洞進(jìn)行攻擊時(shí)，可從獲取合法用戶名和密碼入手，逐級(jí)深入，直至獲取web應(yīng)用服務(wù)器的管理權(quán)限，甚至在合法的web服務(wù)器上注入入侵者自己的應(yīng)用代碼。

操作系統(tǒng)

相比針對(duì)web服務(wù)器的攻擊行為，Struts2漏洞對(duì)于操作系統(tǒng)層面的攻擊會(huì)導(dǎo)致更加嚴(yán)重的后果。入侵者以web服務(wù)器為跳板，直接入侵系統(tǒng)內(nèi)部位于網(wǎng)絡(luò)防火墻后端的內(nèi)網(wǎng)主機(jī)，不僅可以對(duì)內(nèi)網(wǎng)做出嗅探，還可能對(duì)內(nèi)部應(yīng)用服務(wù)器進(jìn)行惡意篡改，或者進(jìn)行惡意掛馬。

數(shù)據(jù)庫(kù)

當(dāng)入侵者突破了web應(yīng)用和內(nèi)網(wǎng)主機(jī)的限制后，數(shù)據(jù)庫(kù)服務(wù)器就以不設(shè)防的形態(tài)展現(xiàn)在入侵者面前。入侵者可以獲取到應(yīng)用服務(wù)器配置文件中的數(shù)據(jù)庫(kù)用戶名和密碼并直接登錄數(shù)據(jù)庫(kù)篡改信息，或者將數(shù)據(jù)庫(kù)存儲(chǔ)文件導(dǎo)出竊取，造成批量數(shù)據(jù)泄密。 

阿里云平臺(tái)給出的調(diào)研結(jié)果，針對(duì)該漏洞產(chǎn)生的攻擊從26日當(dāng)日11點(diǎn)開(kāi)始，在19點(diǎn)呈現(xiàn)爆發(fā)趨勢(shì)，截止26日晚24時(shí)，已經(jīng)統(tǒng)計(jì)到的攻擊次數(shù)突破了26000次，這里面遭受攻擊的有企業(yè)用戶，政府機(jī)構(gòu)，金融行業(yè)，雖然官方及時(shí)發(fā)布了修復(fù)補(bǔ)丁和直接攔截該漏洞的防護(hù)代碼，但是其影響力和造成的破壞卻不容我們忽視。