游戏安全资讯精选 2017年 第七期:游戏账号窃取日益猖獗,Struts2 REST插件远程执行命令漏洞全面分析,2017世界物联网博览会IoT安全观点-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

游戏安全资讯精选 2017年 第七期:游戏账号窃取日益猖獗,Struts2 REST插件远程执行命令漏洞全面分析,2017世界物联网博览会IoT安全观点

简介: 游戏账号窃取日益猖獗,2017世界物联网博览会IoT安全观点


0e2605beda5386c9bd151bbc132da6d1279b929d

 

【每周游戏行业DDoS态势】


c1a96a709631e4058ea6a1045bba3749a5ff7cf1

 

 

【游戏安全动态】


游戏账号窃取日益猖獗,游戏运维人员如何做好防范?点击查看原文

 

概要:盗取游戏账号主要目的是获取个人信息在暗网售卖,并且用账号、虚拟货币、虚拟装备来盈利,这也意味着,游戏行业越发达,安全风险也就越高,因为攻击者的盈利空间越大。


作为游戏公司,可定期引导玩家去检查自己的账户密码是否受到数据泄露的影响;如果遇到游戏账号丢失或大面积被窃取,游戏公司需要尽快做好沟通;安全运维人员要随时关注登录游戏的活跃IP,如果遇到IP增加的情况,则需要及时提防响应;同时需要为安全准备相应的资源,安全产品能灵活扩展很重要;最后,通过序列号,个人信息验证机制,来确保玩家身份的真实性。



【相关安全事件】


Struts2 REST插件远程执行命令漏洞全面分析点击查看原文


概要:2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052)。

 

点评:当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。


建议运维人员或开发人员尽快关注并资产,可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在,建议您尽快按照以下方式修复漏洞。

目前官方已经发布补丁,建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则,用户可以通过WAF,对利用该漏洞的攻击行为进行检测和防御,最大程度减少安全风险。


【云上视角】


2017世界物联网博览会:IoT安全观点。点击查看原文


概要:9月10日,2017世界物联网博览会在江苏无锡拉开帷幕,阿里巴巴集团携阿里云IoT及蚂蚁金服参会在9月11日的安全智能高峰论坛上,三位阿里巴巴的IoT安全研究者:阿里云首席安全科学家吴翰清,阿里巴巴资深IoT安全专家谢君,和阿里巴巴集团安全部安全研究专家王康,从趋势和技术两个角度,分享物联网给我们带来的价值,以及如何才能构筑安全、可信、在线的物联网。

 

吴翰清提出,物联网的未来价值在于连接与在线;端、连接和云;IoT作为基础设施的三大支柱;与变革同时而来的是风险。庞大的数据量,实时的交换,如何对这些在线的数据做管控,是物联网安全的关键。



查看其它行业资讯


金融安全资讯精选 2017年第七期:Equifax 泄漏 1.43 亿用户数据,Struts2 REST插件远程执行命令漏洞全面分析,阿里云护航金砖五国大会

往期回顾


游戏安全资讯精选 2017年 第六期:Akamai报告称游戏是流量型攻击的主要受害者,英国二手游戏经销商CeX漏洞遭利用,MongoDB等数据服务被劫持勒索风险预警,网络安全上榜五大稀缺职业



期待听到您的反馈


 金融、政府、游戏安全资讯精选会通过云栖社区专栏,

阿里云安全微信和微博,每周与您见面。

如果您是阿里云用户,

也欢迎通过邮件、钉钉公众号查看本周行业资讯。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章