又见Struts

Posted 2021-04-28 道哥的黑板报

道哥今天从早到晚一共开了七个会，到现在嗓子已经疼的快说不出话了，也直接导致今天没有力气长篇大论，扯几件今天的事情吧。

今天爆出了一个Java Web框架 --- Struts 2 ----的远程执行漏洞，利用这个漏洞可以上传后门，黑掉一个网站或者是盗取用户数据。漏洞的利用代码已经公开。因为使用Struts 2开发的网站非常多，包括很多大网站，所以这个漏洞影响面非常广。Struts已经不是第一次出这种漏洞了，其维护者的安全意识非常薄弱，经常漠视或者是不正确的处理安全问题。

今天下午整个中国的黑客圈像疯了一样开始利用这个漏洞黑网站，下面这几张图是部分白帽子检测了一些大网站后提交到乌云平台的报告，大家可以感受一下。

今天我开的第七个会也是针对这个问题的应急处理。很多朋友之前问我在创业做什么，我所在的公司安全宝就是做云安全服务的，同时在保护数万个网站，所以对这样的漏洞非常敏感。

估计中国互联网又要遭遇一次浩劫，很多网站会被“拖库”，这些大网站的数据库里包括了各位读者们的姓名、手机号、邮箱，有的还有住址、身份证等隐私数据。接下来会很热闹。

------ 我是万恶的分割线 ------

今天从亚马逊上购得了吴军老师写的《浪潮之巅》，第二版，分为上下两册。这本书我认为是5年来从事互联网行业最值得看的一本书。

同时还买了白鸦推荐过的《史玉柱自述》，过几天如果有什么读书心得的话会和大家分享，现在还没读过，就不妄言了。

另外帮朋友转达一个消息，百度云和segmenfault社区、infoQ一起弄了个“编程马拉松”，在北京、武汉、成都、台北、新加坡举行。所谓编程马拉松就是一组人聚在一起，在一段特定的时间内，以合作的形式进行编程竞赛。

这个形式和现在很多黑客攻防大赛里的WarGame很像，应该也会很刺激。主办方当然也提供了一些奖品来奖励优胜者哦。

点击“阅读原文”可以查看“编程马拉松”的相关信息。

=== 道哥的黑板报，微信ID：taosay ===

微博（新浪、腾讯）ID：aullik5

交流、提问可直接回复消息。

回复m查看推荐文章。

历史文章存放在：http://taosay.net