无语的年会抽奖.......

简介: 首选声明, 做这个完全是想告诉大家安全的重要性, 没有 针对 任何人, 任何事, 请大家务必关注安全领域的信息, 特别是如今的互联网时代, 安全性应该放在第一位.
首选声明, 做这个完全是想告诉大家安全的重要性, 没有 针对 任何人, 任何事, 请大家务必关注安全领域的信息, 特别是如今的互联网时代, 安全性应该放在第一位.
如果不小心发生用户数据泄漏事件, 会对公司的声誉产生不良影响.
 
就如同我们的操作系统时不时都需要打补丁一样, 每个程序都不是完美的, 有朝一日出一个大bug, 大家应该第一时间做 出反 应, 以免遭遇不必要的损失.
就如下我们目前的状况, 产品中多使用了很多开源的组件, 少则几个, 多则几十个, 他们都有可能出现bug, 你使用 得越 多, "中奖"机率也就越高.
开源绝对是好东西, 我这里当然不是恐吓大家千万不要使用 任何 开源组件, 而是提醒大家务必/一定/确定/及时地关注自己所使用的开源组件的动态, 是否有重大漏洞被爆出, 及时找出应 对方案.
 
下面就是我刚好碰到的, 想必有些同事关注得比较少, 所以大家就全当是学习了, 再次声明,  我没有针对什么, 唯一想做的就是让产品变得更好.
 

 
今年的年会抽奖正在火热进行中, 我当然也不想错失机会, 就去上传照片了
出于测试的目的, 我上传照片时选择了一个test.js文件, 于是乎沦陷了

 
这个devMode给我提了个醒, 早一阵子看过一篇安全方面的文章, 有介绍 Top Ten Web Hacking Techniques of 2011
Multiple vulnerabilities in Apache Struts2 and property oriented programming with Java
是的, 2011年的东西, 现在是2013年了, 而且我也是那是才知道的, 实在惭愧...
请大家务必重视这个漏洞, 非常非常可怕的漏洞 -- remote command execution, 主要是OGNL在作怪
在apache struts上面有公布这些漏洞, 建议大家都升级到最新版
 
 
于是乎, 全当是测试了
1. 基础测试, 查看应用的application, 发现有用的信息

 
2. 测试读取文件

 
3. 测试写入文件
 
4. 查看写入结果

 
 
测试到此为止, 希望相关同事能够立即修复漏洞, 其他使用过struts的同事也可以仔细检查下自己有没有中招, 够升级的尽量升级, 不方便升级的尽量关闭一些危险设置
希望借此机会让大家更多地关心系统的安全.
不经意间, 你小小的一个true or false可能就是一整个产品的true or false!
 
最后非常感谢大家来听我发的牢骚, 谢谢!

目录
相关文章
|
资源调度
【已解决】‘export‘ 不是内部或外部命令,也不是可运行的程序或批处理文件
‘export‘ 不是内部或外部命令,也不是可运行的程序或批处理文件
2942 0
|
弹性计算 小程序 数据安全/隐私保护
大咖与小白的日常:10分钟部署一个年会抽奖程序
本教程指导您3分钟部署一个年会抽奖程序,大屏幕滚动起来吧!
412 6
大咖与小白的日常:10分钟部署一个年会抽奖程序
|
8天前
|
弹性计算 关系型数据库 微服务
基于 Docker 与 Kubernetes(K3s)的微服务:阿里云生产环境扩容实践
在微服务架构中,如何实现“稳定扩容”与“成本可控”是企业面临的核心挑战。本文结合 Python FastAPI 微服务实战,详解如何基于阿里云基础设施,利用 Docker 封装服务、K3s 实现容器编排,构建生产级微服务架构。内容涵盖容器构建、集群部署、自动扩缩容、可观测性等关键环节,适配阿里云资源特性与服务生态,助力企业打造低成本、高可靠、易扩展的微服务解决方案。
1196 4
|
7天前
|
机器学习/深度学习 人工智能 前端开发
通义DeepResearch全面开源!同步分享可落地的高阶Agent构建方法论
通义研究团队开源发布通义 DeepResearch —— 首个在性能上可与 OpenAI DeepResearch 相媲美、并在多项权威基准测试中取得领先表现的全开源 Web Agent。
1036 48
|
6天前
|
机器学习/深度学习 物联网
Wan2.2再次开源数字人:Animate-14B!一键实现电影角色替换和动作驱动
今天,通义万相的视频生成模型又又又开源了!Wan2.2系列模型家族新增数字人成员Wan2.2-Animate-14B。
554 11
|
17天前
|
人工智能 运维 安全
|
8天前
|
云栖大会
阿里云云栖大会2025年9月24日开启,免费申请大会门票,速度领取~
2025云栖大会将于9月24-26日举行,官网免费预约畅享票,审核后短信通知,持证件入场
1640 12