我为什么支持高校的业务系统放弃Apache Struts2框架(一)

月初听闻广东某高校(中山大学)发布通知:关于停止使用Apache Struts2开发框架的通知

鉴于S2漏洞较多、维护难度较大,为防范控制网络安全风险,经研究决定,新建信息化项目不得使用S2;

在用S2的信息系统(网站)应尽快转用其他更安全的MVC框架(如Spring MVC等);从即日起,使用S2的信息系统(网站)将仅限校园网内访问。

作为信息安全爱好者,个人对学校的决定是举双手支持的,Struts 2框架在安全方面似乎有着与生俱来的缺陷,与同类开源项目相比,它的问题是在是太多了。下面说一下我个人支持的原因:

一、数据泄漏

9月9日那天,国外有消息称“Struts漏洞导致1.43亿美国公民信息被泄”,并且Apache Struts 2官方也对此做了回应(声明):

https://blogs.apache.org/foundation/entry/apache-struts-statement-on-equifax?from=timeline

图1

大概的E文翻译(感谢网易有道)如下:

Apache Struts 项目管理委员会愿意就Equifax数据泄露做出声明,因为这与Apache Struts Web框架有关,而且我们在知晓Equifax遭受了数据泄露,且盗取数据者是利用Apache Struts Web框架后,感到非常遗憾。目前,尚不清楚被利用的是哪一个Struts漏洞。Quartz.com网站上曾发表一篇文章,称与CVE-2017-9805漏洞有关,而这个漏洞是在9月4号公布的,随后Apache便发布了可修复漏洞的Struts框架新升级。然而,该安全漏洞早在7月就以被检测到,这意味着要么是Equifax服务器上存在未被及时修复的补丁,要么是攻击者利用了零日漏洞。如果漏洞确由CVE-2017-9805引起,那可能是黑客在利用该漏洞时,它还只是个零日漏洞。因为这篇文章称CVE-2017-9805已经存在九年时间。

作为Apache Struts的项目管理委员会想表明的是,我们的研发团队为了保障我们产品的安全付出了巨大努力,而且会在第一时间解决问题。按照Apache 安全政策的要求,一旦我们发现可能存在的安全问题,我们就会先私下与报告方合作解决问题,并升级产品以修复漏洞。然后才会将漏洞以及修复的方式告知大众。即便漏洞是我们已经知道的,我们也会将信息拦截若干周,以便泄露事件在全球爆发前他们有足够的时间修复自己的软件。然而,由于漏洞检测和漏洞的利用已经成了专门的产业,通过对补丁做逆向工程或是扫描未知漏洞,是很有可能在我们完全曝光攻击向量之前就出现攻击事件的……

虽然1.43亿的数据泄漏发生在美国,离我们比较远,但其实类似的事件,我们国内也曾发生过。

2016年12月10日,国内某知名电商平台被爆出12GB用户数据遭泄漏:身份证、密码、电话等敏感信息无一逃脱。

随后在12月11日,官方平台发布声明:“经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”

时间: 2024-10-06 11:43:04

我为什么支持高校的业务系统放弃Apache Struts2框架(一)的相关文章

我为什么支持高校的业务系统放弃Apache Struts2框架(二)

月初听闻广东某高校(中山大学)发布通知:关于停止使用Apache Struts2开发框架的通知 鉴于S2漏洞较多.维护难度较大,为防范控制网络安全风险,经研究决定,新建信息化项目不得使用S2: 在用S2的信息系统(网站)应尽快转用其他更安全的MVC框架(如Spring MVC等):从即日起,使用S2的信息系统(网站)将仅限校园网内访问. 作为信息安全爱好者,个人对学校的决定是举双手支持的,Struts 2框架在安全方面似乎有着与生俱来的缺陷,与同类开源项目相比,它的问题是在是太多了.下面说一下我

我为什么支持高校的业务系统放弃Apache Struts2框架(四)

月初听闻广东某高校(中山大学)发布通知:关于停止使用Apache Struts2开发框架的通知 鉴于S2漏洞较多.维护难度较大,为防范控制网络安全风险,经研究决定,新建信息化项目不得使用S2: 在用S2的信息系统(网站)应尽快转用其他更安全的MVC框架(如Spring MVC等):从即日起,使用S2的信息系统(网站)将仅限校园网内访问. 作为信息安全爱好者,个人对学校的决定是举双手支持的,Struts 2框架在安全方面似乎有着与生俱来的缺陷,与同类开源项目相比,它的问题是在是太多了.下面说一下我

我为什么支持高校的业务系统放弃Apache Struts2框架(三)

月初听闻广东某高校(中山大学)发布通知:关于停止使用Apache Struts2开发框架的通知 鉴于S2漏洞较多.维护难度较大,为防范控制网络安全风险,经研究决定,新建信息化项目不得使用S2: 在用S2的信息系统(网站)应尽快转用其他更安全的MVC框架(如Spring MVC等):从即日起,使用S2的信息系统(网站)将仅限校园网内访问. 作为信息安全爱好者,个人对学校的决定是举双手支持的,Struts 2框架在安全方面似乎有着与生俱来的缺陷,与同类开源项目相比,它的问题是在是太多了.下面说一下我

我为什么支持高校的信息系统放弃Apache Struts2框架(五)

月初听闻广东某高校(中山大学)发布通知:关于停止使用Apache Struts2开发框架的通知 鉴于S2漏洞较多.维护难度较大,为防范控制网络安全风险,经研究决定,新建信息化项目不得使用S2: 在用S2的信息系统(网站)应尽快转用其他更安全的MVC框架(如Spring MVC等):从即日起,使用S2的信息系统(网站)将仅限校园网内访问. 作为信息安全爱好者,个人对学校的决定是举双手支持的,Struts 2框架在安全方面似乎有着与生俱来的缺陷,与同类开源项目相比,它的问题是在是太多了.下面说一下我

基于Web高校宿舍选择系统的实现

为了讲解如何实现该选择系统,我讲从如下角度拆分解析整个系统的实现过程,带大家由浅入深的了解一个网站的功能是如何一步一步添加的 高校宿舍选择系统的实现:业务逻辑以及要求分析 高校宿舍选择系统的实现:逻辑分析与表的设计 高校宿舍选择系统的实现:单点登陆的设计与实现 高校宿舍选择系统的实现:模块拆分与功能结构设计 高校宿舍选择系统的实现:通用支持模块模 - 用户权限系统的设计与实现 高校宿舍选择系统的实现:通用支持模块模 - 文件系统的设计与实现 高校宿舍选择系统的实现:通用支持模块模 - 验证码功能

Atitit.业务系统的新特性 开发平台 新特性的来源总结

Atitit.业务系统的新特性 开发平台 新特性的来源总结 1.1. 语言新特性(java c# php js python lisp c++ oc swift ruby  go dart1 1.2. 流行lib.frmawork  新特性 jdk clr framework 新特性 (jq   Servlet2 1.3. Ide 新特性( eclipse vs netbea jetbrain2 1.4. Vm  新特性 clr  jvm(jvm好像没有独立的版本号,继承在jdk里面2 1.5.

业务系统-呼叫中心二次开发(已完结)

一. 批量筛号: 1.输入:案件批次号 输出:该批次的所有电话号码(非有效状态),进行批量筛号,将未知状态的号码标志为有效和无效. 2.Table: Call_Filter_Task     =(Id, Step, Status, BatchId,  CateGoryId, TaskType, TotalNum, Creator, CreateTime, RunBeginTime, RunEndTime) Call_Filter_Send_Batch    = (Id, Status, Filt

企业级业务系统开发实战

通过一个系列讲述一个真实企业的ERP系统开发全过程.其中包括需求分析.设计建模.开发.测试全生命周期过程,其中会详细讲方法论与技术实践.涉及到的方法包括敏捷软件开发.四色原型.领域驱动设计.业务架构.技术架构与具体的EF.WF.EasyUI等技术在项目中的使用. 领域驱动设计案例之领域层框架搭建 摘要: 根据前面对领域驱动设计概念以及一些最佳实践的理解,领域模型是系统最核心的部分,我们还是采用前面销售订单的例子,这个案例系统的核心构建就从领域层开始.领域层框架搭建主要完成两个任务:1.领域模型的

基于SSH的高校网上选课系统的质量属性的实现

我对于基于SSH的高校网上选课系统的质量属性的实现是从可用性.性能.安全性.可维护性.易用性五个方面进行的实现. 可用性方面: 实现方式:(1)当系统试图超出限制范围来进行课程查询或选课时必须进行错误检测并且抛出异常,中止进一步的错误操作,所采用的战术为错误(异常)检测, 此异常属于Action层,只捕获自定义应用异常,其他异常上抛.Struts2提供了异常拦截器,拦截器会将定义的异常捕获,记录日志,然后根据配置的异常的类型顺序跳转到相应的页面.(2)遵从J2EE的系统提供了可以使用的事务服务,