互联网金融两大安全问题 大平台更受黑客青睐

时间:2017-05-13小编:人气:

互联网金融两大安全问题 大平台更受黑客青睐。对于“生活”在互联网上的一代来说,关于我们的大部分信息都在不知不觉间被“记录”了。而那些留在虚拟世界里的数据越来越多,它们组合成了一个个人物“画像”,即便没有见到面,这些信息也足以告诉大家:我们是谁,我们是什么样的人,我们喜欢什么,讨厌什么…...

“数据即一切”,这个认知被这个时代的所有企业奉为神祗。那些掌控着最多我们数据的企业成为了最有价值的公司,但可怕的是,如此重要的资产却并没有得到理应的保护,我们的数据依然被泄露、盗取、贩卖、滥用。

京东12G数据泄露事件只是网络安全危机的冰山一角,或许它并不是危机最深重的那家公司。不过,作为国内最知名的互联网公司之一,作为一家已经在做技术输出业务的公司(京东金融),它依然出现了这么严重的网络安全问题,这件事本身就值得引起大家,以及整个行业的警惕和重视。

根据京东回应称,该数据源于2013年Struts 2的安全漏洞问题,该问题因框架自身的安全性问题使系统极易被攻击而产生。那么,问题来了:什么是Struts 2?为什么该框架自身安全性有问题,包括京东这样的公司还要采用?我们要如何更好的保护个人的信息安全?

今天,特别请我的朋友来给大家答疑解惑,他们是互联网安全服务商斗象科技的创始人袁劲松,联合创始人张天琪,U宝娱乐平台www.pe114.com,这两位也是国内网络应用安全、安全研发、安全架构、漏洞挖掘等领域专家,以下就是他们分享:

01

Struts和它的安全漏洞

Struts是平时Java EE应用开发中最常用的开源MVC框架,从Struts1发布现在的Struts 2已有16年的历史,目前是Apache基金会赞助的项目,Struts2是Struts的下一代产品,同类的框架还有Spring等。

Struts2官方历史上共爆出了40多个漏洞,其中大部分都与OGNL表达式有关。OGNL表达式是Struts2框架的核心机制之一,是一种功能强大的表达式语言,用来GET和SET Java对象的属性,它旨在提供一个更高抽象度语法来对Java Objects Map进行导航,OGNL在各部分逻辑中都有应用。

绝大多数OGNL相关的安全漏洞均由于框架底层对用户输入没有做完整且有效的过滤与验证,导致攻击者直接把恶意的用户输入当成表达式执行,便于控制系统可以执行任意代码、任意命令,这类漏洞危害等级普遍较高。

尽管官方一次次的修复,但每次都是治标不治本。而且官方团队对安全的意识和理解也存在一定偏差,导致修复被一次次的绕过。当时这个漏洞被披露的时候,由于利用难度较低,加上很多攻击者在互联网上发布了自动化检测和利用工具,这也大幅降低了漏洞利用的门槛。

加之Struts2框架的流行程度,使得顷刻之间大面积网站被攻击。此次,按照京东的说明,其数据泄露事件就源于2013年7月爆发的一次高危漏洞。当时国内很多知名网站都受到此漏洞不同程度的影响。

站在企业角度,很多应用Struts 2框架的业务,出于对升级可能造成的业务风险的考虑,不一定会直接照官方升级,而且并不是所有团队都有这样的技术能力对自己的业务线进行整体升级,以至于问题被遗留下来。

据我们统计,大多数企业是没有专职的安全团队,安全的职责很多时候由运维兼任。这也是导致很多企业无法第一时间得知这类安全通告,也缺乏相应的技术能力来判断事件的严重性,难以进行及时且有效的决策。

而目前很多大型互联网公司都喜欢在开源框架的基础上根据业务情况研发自己的框架,自己定义安全模型。像阿里巴巴有一套通用的WebX框架就是基于Spring的基础上进行了很多改进。

有能力在开源框架基础上进行二次开发的团队,在选型上会考虑安全性,也会把一些安全机制进行定制与完善,如常见的:输入验证、输出编码、身份验证、会话管理、密码管理、访问控制、错误处理与日志、数据加密、资源管理等。这些常见功能在框架层面抽象成具体的安全API,供业务开发者消费,以便加强整体业务线安全。

安卓市场
  • 选购指南
  • 基础课堂
  • 进阶使用
  • 玩机技巧
  • 故障答疑
  • 刷机教程
  • 美化学堂
用安卓手机 装安卓市场
返回顶部