本周關鍵字
▼
Struts2漏洞 | 維琪洩密CIA | 50億資訊洩露
京東捉內鬼 | 職業內鬼 | 重罰資訊洩露
1.一份資料告訴你, 被萬年漏洞王 Struts2 坑了的網站有哪些
pache Struts2 作為世界上最流行的 Java Web 伺服器框架之一, 3 月 7 日帶來了本年度第一個高危漏洞——CVE編號 CVE-2017-5638 。 其原因是由於 Apache Struts2 的 Jakarta Multipart parser 外掛程式存在遠端代碼執行漏洞, 攻擊者可以在使用該外掛程式上傳檔時, 修改 HTTP 請求頭中的 Content-Type 值來觸發該漏洞, 導致遠端執行代碼。
哪些網站已中招
Struts 作為一個“世界級”開源架構, 它的一個高危漏洞危害有多大, 下面兩張圖可以讓大家對這個漏洞的影響範圍有一個直觀認識。
雷鋒網從綠盟科技瞭解到, 從 3 月 7 日漏洞曝出到 3 月 9 日不到 36 個小時的時間裡, 大量用戶第一時間通過綠盟雲的 Structs2 緊急漏洞檢測服務對自己的網站進行檢測, 共計 22000 餘次。
通過對這些資料進行分析, 可以看到:
1、從檢測資料來看, 教育行業受Struts2漏洞影響最多, 其次是政府、金融、互聯網、通信等行業。
2、從地域來看, 北、上、廣、沿海城市等經濟發達地區成為 Struts2 漏洞高發區,與此同時修復情況也最及時。
3、從應對漏洞積極性來說, 金融、政府、教育位列前三甲。
雷鋒網瞭解到, 應對本次 Struts2 漏洞, 金融行業應急反應最為迅速, 在漏洞爆發後採取行動也是最迅速的, 無論是自行升級漏洞軟體還是聯繫廠商升級防護設備都走在其他行業前列, 很多金融行業網站在幾個小時之內再次掃描時已經將漏洞修補完成。
2.維琪解密曝CIA 入侵蘋果、安卓機、電視, 快來圍觀8761份洩密檔
美國時間3月7日,
然而在以往大眾的認知當中, 這些內鬼可能是原本正常的員工受到利益的誘惑才和地下黑產勾結, 但“職業臥底”這一身份的出現, 開始讓人們意識到, 公眾資訊保護並沒有那麼簡單。 網路安全的“無間道”大戲正在上演, 每一家擁有公眾資訊的企業、機構都在參演, 而最終的受害者將是每一個公民。
隨著大資料產業的發展, 使用者資料洩露現象進一步惡化, 個人資訊安全形勢嚴峻。 對此, 全國政協委員張近東在今年提交的提案中, 建議重罰資訊洩露行為,去年, 中國互聯網協會資料包告顯示, 78.2%的線民個人身份資訊被洩露過, 63.4%的線民個人網上活動資訊被洩露過, 線民因個人資訊洩露、垃圾資訊、詐騙資訊等現象導致總體損失約805億元。
對於資訊安全問題, 張近東提出, 要進一步制定資料開放共用配套法規、安全配套標準, 構建防護技術體系, 確保資料安全。 根據不同企業等級, 制定相應法規、管理條例, 強制要求相應等級企業參照國家相應標準, 採取符合其等級的技術和管理規範, 並保證其在資訊保護方面的經費投入與其資訊數量、敏感度匹配。
張近東認為, 要針對資訊洩漏及轉賣資訊人員加強處罰,因目前資訊洩漏源頭環節相對廉價,每條僅為1元不到至10元不等,僅從涉案金額來看往往不高,且最高罰則僅為三年以下有期徒刑,無法形成有效制約。
要針對資訊洩漏及轉賣資訊人員加強處罰,因目前資訊洩漏源頭環節相對廉價,每條僅為1元不到至10元不等,僅從涉案金額來看往往不高,且最高罰則僅為三年以下有期徒刑,無法形成有效制約。