紧急预警！Struts2新漏洞S2-045来袭，多个版本受影响

【51CTO.com原创稿件】近日，安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045，CVE编号：cve-2017-5638)，并定级为高危风险。

据悉，该漏洞影响范围极广，涉及Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10多个版本。黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令，将会对受影响站点造成严重影响，引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。

另据安恒信息安全研究院介绍，漏洞的危害程度极其严重影响极大，就算是此前爆出过危害非常严重s2-016漏洞，在已打补丁后的版本均受本次漏洞的影响。

由于该漏洞漏洞利用无任何条件限制，可绕过绝大多数的防护设备的通用防护策略，直接获取应用系统所在服务器的控制权限。安恒信息安全专家建议提前做好该严重漏洞的应急准备工作，可将版本更新至Struts 2.3.32 或者 Struts 2.5.10.1 或 使用第三方的防护设备进行防护。

此外，安恒信息官方表示，安恒信息WAF、玄武盾、APT预警平台等各防护、监测类的相关产品已提前针对该漏洞提供更新策略，并已做好该漏洞相关的各项应对准备工作。并且，鉴于此漏洞影响范围极广，危害严重，为保障两会时期网站平稳运行，安恒信息决定为所有受此漏洞影响网站开通玄武盾快速接入绿色通道。网站负责人可以致电安恒信息7*24小时客服热线，在客服人员的指导下快速接入网站，立即启动防护。

作者：dumj
来源：51CTO

公司网站有高危逻辑漏洞要修复怎么办 在我SINE安全对客户网站进行逻辑漏洞检测的时候，逻辑漏洞就是指由于程序结构输入管理不紧，造成程序代码不能够 正常解决或错误处理，一般发生在新用户注册、找回密码、信息内容查询、网上交易结算额度等。我将全部逻辑漏洞的现象分成前端开发和后端开发2个组成部分，整体构思全部都是先检测前端开发再检测后端开发。在我解读中实际上便是能提升标准限定的便是漏洞【像无法更改的，利用抓包就能够更改了】。
网站漏洞整改修复公司如何部署安全方案 目前网站存在漏洞导致被网警下发整改通知以及限期处理并回执的问题越来越多，云计算等技术极大地促进了服务器资源的分配和系统的部署，但随之而来的是资产管理中的安全风险。有些人没有及时回收资源和更新资产，在网上形成了僵尸主机，很容易成为攻击者的肉机。为有效保障企业工作的发展，相关法律法规明确要求网络管理人员及时处理系统漏洞、病毒、攻击等安全风险。但实际上，部分人员缺乏安全意识，对安全漏洞重视不够，部分企业缺乏足够的技术能力进行修复，导致上述安全风险未及时修复。
PHP网站漏洞修复公司对于业务漏洞的修复 最近，我们公司的在线业务系统遇到了一个更为棘手的问题。该公司的网站在线商城系统遭到黑客的入侵，数据库中的用户数据被黑客盗取。由于大部分的客户信息的泄露，公司接到了客户投诉说是电话经常被骚扰，以及受到广告短信。由于缺乏专业的安全技术没有安全方面的经验，PHP系统仅限于功能的实现。看来我需要学习安全方面的一些防止SQL注入攻击的，所以我必须下定决心，努力学习网站的安全。通过不断的探索，我找到了一个比较好的PHP安全方面的书籍“PHP安全之路”。在阅读的过程中，我会把学到的东西记下来，以便将来可以进行学习回忆。
Log4j “核弹级”漏洞攻击预警方案 Log4j “核弹级”漏洞影响面极大，虽然官方修复版本已经发布RC版本，很多公司仍然发布公告需要一些时间进行修复。本文介绍如何快速先部署一个预警机制，使得漏洞被利用时可以快速发现并及时响应。
网站漏洞修复 短息轰炸漏洞检测与修补方案 很多公司网站的被攻击，被篡改，都是存在着网站漏洞隐患的，也有很多客户找到我们SINE安全公司，对自己公司网站进行渗透测试服务，以及网站的安全检测，漏洞检测整体的安全服务，我们SINE安全在日常对客户网站进行安全渗透的同时，发现都存在着手机号任意发短信的漏洞，简单来讲就是短信轰炸漏洞。
威胁快报| ThinkPHP v5 新漏洞攻击案例首曝光，阿里云已可告警并拦截 2018年12月10日，ThinkPHP v5系列发布安全更新，修复了一处可导致远程代码执行的严重漏洞。阿里云态势感知已捕获多起基于该漏洞的真实攻击，并对该漏洞原理以及漏洞利用方式进行分析。现在，对于云上未及时进行系统更新的用户，阿里云态势感知已提供攻击告警，WAF产品支持同步拦截，目前云上客户基本未受到影响。
云栖大讲堂 擅长前端领域，欢迎各位热爱前端的朋友加入我们（ 钉钉群号：23351485）关注【前端那些事儿】云栖号，更多好文持续更新中！