修补反序列化漏洞的困难
上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布并明确记录了这一漏洞。
只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。
然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!
解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。
你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战。
该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布并明确记录了这一漏洞。
只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。
然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!
解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。
你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战。
该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布并明确记录了这一漏洞。
只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。
然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!
解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。
你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战。
该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
上周,有报道称Equifax数据泄露事件背后的一个可能原因是Apache Struts REST插件的一个漏洞。该插件的旧版本在与XStream处理程序一起使用时,容易受到远程代码执行攻击。其原因是对不可信任的数据进行反序列化,这是一个众所周知的漏洞类型。该漏洞被官方认定为CVE-2017-9805,9月5日Apache在Struts 2.5.13版本中打了补丁。随后在Apache Struts文档中公布并明确记录了这一漏洞。
只要升级到最新的Struts版本就可以保护应用程序免受这种攻击,那么为什么公司不立即升级呢?反序列化漏洞的问题在于,被利用的例程往往是应用程序代码所依赖的。在这种情况下,应用新的Struts补丁可能会产生一些副作用,正如关于该漏洞的文档所提到的,"由于应用了对可用类的默认限制,一些REST动作可能会停止工作"。很有可能的是,确保应用程序在较新版本的Struts上继续工作需要一些时间。
然而,黑客们不需要那么多时间就可以开始滥用已发布的漏洞,我们已经可以看到一些漏洞的发布。9月8日,一个Metasploit模块被添加进来,那是在Apache修补漏洞的三天后。推迟打补丁显然不是一个好主意!
解决办法是实施Apache建议的变通方法,这可以在更短的时间内完成。一个具有可配置的编码准则的安全工具来执行这个变通方法,甚至自动应用它,将大大加快这个过程。
你想知道更多关于如何识别和保护包含不可信任数据反序列化的代码吗?请访问Secure Code Warrior 门户网站,了解清晰的解释和培训挑战。
该漏洞与Struts如何解析这类数据并将其转换为可由Java编程语言解释的信息有关。当该漏洞被成功利用时,恶意代码可以被隐藏在这些数据中,并在Struts试图转换时被执行。
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
资源
安全技能基准测试:简化企业安全设计
寻找有关 "按设计确保安全 "计划成功与否的有意义的数据是众所周知的难题。首席信息安全官(CISO)在试图证明投资回报率(ROI)和安全计划活动在人员和公司层面上的商业价值时,往往会面临挑战。更不用说,企业要深入了解自己的组织是如何以当前的行业标准为基准的,更是难上加难。美国总统的《国家网络安全战略》向利益相关者提出了 "通过设计实现安全和弹性 "的挑战。让 "按设计保证安全 "计划发挥作用的关键不仅在于为开发人员提供确保代码安全的技能,还在于向监管机构保证这些技能已经到位。在本演讲中,我们将分享大量定性和定量数据,这些数据来自多个主要来源,包括从超过 25 万名开发人员那里收集的内部数据点、数据驱动的客户洞察力以及公共研究。利用这些数据点的汇总,我们旨在传达一个跨多个垂直领域的 "按设计保证安全 "计划的现状。报告详细阐述了这一领域目前未得到充分利用的原因、成功的技能提升计划对降低网络安全风险的重大影响,以及消除代码库中各类漏洞的潜力。
