现在的位置:首页>杂谈>正文

Struts 2漏洞:网曝京东12G账户信息遭泄露

2016年12月12日 ⁄ 共 847字 评论 3 条

京东又出大事了,部落刚刚在网上看到,网曝京东12G账户信息遭泄露,这是一个非常恐怖的数字,其中包括用户名、密码、邮箱、QQ号、手机号以及身份证信息等。据说这个是Struts 2漏洞来的,而且是三年前的漏洞,真心搞不清楚。

什么叫Struts 2?

这是一个开源的应用框架,作为网站开发的底层模板。因为开源,不仅是京东之类互联网厂商,政府银行也都用,特流行。

那他有什么样的漏洞呢?

三年前,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞,乌云则是直接把漏洞用代码写了出来。

实际上,这个问题并没有完全解决,今年4月,Apache Struts2再次公告,新版本(官方编号S2-032/CVE编号CVE-2016-3081),Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。

“远程执行任意命令”,就相当于叫企业服务器干啥就干啥,这就包括“拖库”——“拖库”就是把整个服务器数据包全部下载,包括用户的个人资料;

有了大量数据包,就开始“撞库”——不同网站数据包交叉登录,反复验证;

然后“洗库”——一个完整、精确、简洁的12G就出来了……

所以事情出来之后,京东是这么整的——

京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。

当然,京东也有自己的一套说法:

Struts 2漏洞:网曝京东12G账户信息遭泄露

最后,部落直接说重点,那就是如何保护我们的信息安全,其实说白了,就是几个字:定期修改密码。

不是一个,而是全部,那些一直使用一个密码的朋友,真心需要注意了,一定要注意,不要将所有的密码设置为一组数据,这样的风险很大。

怎样不被别人猜中你的密码?

做好准备,记住一个好用的强密码。绝对值得。

去网站上(比如random.org这种)找真正随机生成的密码,列出五到十个备选密码。

从中挑一个你能转换成好记短语的密码,靠那个短语来记忆。

评论 3 条 评论内容很精采,有内幕,而且绝对有干货

  1. 网赚 2016年12月12日 09:58  @回复  Δ-49楼 回复

    安全第一啊

  2. 动感单车 2016年12月12日 10:46  @回复  Δ-48楼 回复

    非常恐怖的一件事!

  3. Pianyiwan 2016年12月12日 11:02  @回复  Δ-47楼 回复

给我留言