京东信息泄露12G用户数据泄露 源自2013年Struts 2漏洞CVE-2013-2251 你需要了解的漏洞信息

疑似京东12个G数据遭泄露,涉及用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度信息,对此,京东表示经初步判断,该数据源于2013年Struts 2的安全漏洞问题。“今天凌晨,京东官方给出回应称,这个所谓12GB用户数据泄漏是真的,但源于2013年Struts 2的安全漏洞,目前已经完成修复。这里需要提到一点,打击黑市交易平台是遏制数据泄露的有效手段 你来看国外黑客怎么买裤子

京东数据泄露的用户信息已经进入黑市交易

一本财经”昨日发布文章《京东数据疑似外泄:超过12个G,涉及数千万用户》,称最近黑市上有一12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。黑市买卖双方表示这些数据来自京东,而京东表示正紧急核实数据真伪。目前,京东得出初步结论。

2013年7月的Struts 2漏洞CVE-2013-2251

京东表示,经其信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,在Struts 2的安全问题发生后,迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”

绿盟科技在2013年7月17日发出的Struts 2漏洞安全公告

发布日期:2013-07-16
更新日期:2013-07-17

受影响系统:

Apache Group Struts < 2.3.15.1

描述:BUGTRAQ  ID: 61189
CVE(CAN) ID: CVE-2013-2251

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。

Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式,并将用户通过URL提交的内容拼接入Ognl表达式中,从而造成攻击者可以通过构造恶意URL来执行任意Java代码,进而可执行任意命令。

redirect:和redirectAction:此两项前缀为Struts默认开启功能,目前Struts 2.3.15.1以下版本均存在此漏洞。

<*来源:Takeshi Terada (Mitsui Bussan Secure Directions, Inc)
  
  链接:http://struts.apache.org/release/2.3.x/docs/s2-016.html
*>

Struts 2漏洞测试方法

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}

建议:厂商补丁:

Apache Group
————
厂商已经发布Apache Struts 2.3.15.1以修复此安全漏洞,建议Struts用户及时升级到最新版本。

厂商安全公告:S2-016
链接:http://struts.apache.org/release/2.3.x/docs/s2-016.html

软件升级页面:http://struts.apache.org/download.cgi#struts23151

Struts 2漏洞实在是太多了

实际上就在2013年7月17日当天,Struts2还有一个Apache Struts 多个开放重定向漏洞(CVE-2013-2248) 漏洞,2013年绿盟科技网站收录了9个,这次出事儿的漏洞就是  2013-07-17 Apache Struts多个前缀参数远程命令执行漏洞(CVE-2013-2251)

  1. 2013-09-24 Apache Struts 安全措施绕过漏洞(CVE-2013-4310)
  2. 2013-09-24 Apache Struts 远程代码执行漏洞(CVE-2013-4316)
  3. 2013-07-17 Apache Struts 多个开放重定向漏洞(CVE-2013-2248)
  4. 2013-07-17 Apache Struts多个前缀参数远程命令执行漏洞(CVE-2013-2251)
  5. 2013-06-07 Apache StrutsOGNL表达式注入漏洞(CVE-2013-2135)
  6. 2013-06-07 Apache StrutsOGNL表达式注入漏洞(CVE-2013-2134)
  7. 2013-05-28 Apache Struts 'includeParams' 不完整修复安全绕过漏洞(CVE-2013-2115)
  8. 2013-05-23 Apache Struts2 Showcase应用远程命令执行漏洞(CVE-2013-1965)
  9. 2013-05-23 Apache Struts2 includeParams属性远程命令执行漏洞(CVE-2013-1966)

Struts是什么

Struts为Apache基金会赞助的一个开源项目,Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。2013年7月17日,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。

经了解,Struts为Apache基金会赞助的一个开源项目,Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。2013年7月17日,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。据当时报道,包括电商、银行、政府等诸多网站均受影响。

2016年的Struts漏洞

据绿盟科技漏洞库收录信息显示,绿盟科技在2016年收录Struts漏洞13个,大家是不是也应该把这些漏洞看看,修复一下?

  1. 2016-10-19 Apache Struts Convention插件路径遍历漏洞(CVE-2016-6795)
  2. 2016-07-05 Apache Struts REST插件任意代码执行漏洞(CVE-2016-4438)
  3. 2016-07-05 Apache Struts 访问限制绕过漏洞(CVE-2016-4431)
  4. 2016-07-05 Apache Struts URLValidator类拒绝服务漏洞(CVE-2016-4465)
  5. 2016-07-05 Apache Struts 跨站请求伪造漏洞(CVE-2016-4430)
  6. 2016-07-05 Apache Struts 访问限制绕过漏洞(CVE-2016-4433)
  7. 2016-06-20 Apache Struts操作名称清除方法安全漏洞(CVE-2016-4436)
  8. 2016-06-07 Apache Struts 2 OGNL缓存投毒拒绝服务漏洞(CVE-2016-3093)
  9. 2016-06-07 Apache Struts 2任意代码执行漏洞(CVE-2016-3087)
  10. 2016-04-27 Apache Struts method: prefix任意代码执行漏洞(CVE-2016-3081)
  11. 2016-04-27 Apache Struts XSLTResult任意代码执行漏洞(CVE-2016-3082)
  12. 2016-03-18 Apache Struts I18NInterceptor跨站脚本漏洞(CVE-2016-2162)
  13. 2016-03-18 Apache Struts 2 远程代码执行漏洞(CVE-2016-0785)

京东信息泄露之后如何发展?

不法分子在盗取用户隐私信息后,通常会冒充平台客服人员,打电话给客户用各种理由劝其退货,以截取退货款,或者在退货后,诱导客户重新订货、输入支付密码付款。而泄露的数据一旦进入地下黑色产业链后,还有可能被多次贩卖。

京东强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

发表评论