7月份struts2官方自曝高危漏洞,厂商安全公告:S2-016,S2-017
国家计算机网络应急技术处理协调中心安全公告编号:CNTA-2013-0022
咋办?简而言之,升级到最新版本呗!
对于安全问题,我总结如下:
只要系统在使用,就没有绝对的安全。但是,骇客也是要吃饭的,无利不早起。因此,一般系统安全的基本原则就是抬高门槛,最好能做到骇客攻击的成本大于收获。骇客的成本一是被抓住的风险,二是时间付出。还有一个更实际一些原则就是在同类系统中做到相对安全,你懂的。
以上是我在维护自行车安全的“实践”中总结出来的道理。维护自行车安全的基本原则就是上两把锁(假定一把锁的情况居多),还有一个更实际一些的原则就是停放在“好车”附近。自合理运用这两条原则以来,我第一辆自行车骑了3年,直到从学校毕业时带不走决定送人;第二辆自行车骑到了可以报废(也可以说不值得修),不想要了,留给小区物业卖废品。
“自行车道理”运用在7月份struts2漏洞事件上,基本原则当然是系统升级。不幸的是,我负责的这个系统底层软件版本有点低,短时间内升不上去呀!嘿嘿,这个系统里面的数据大概只有用户自己能明白吧,别人偷了去,不明白还好,误导了不好!就这样,我于心不安的渡过了几个月(干更重要的事情去),直到被领导问话,怎么别人都上进了,就你还在原地踏步?想不升(漏洞想别的办法补),很难呐。升级过程中遇到一个convertFromString不执行的问题。用过struts的同学都知道XXX-conversion.properties中可以指定自己的类型转换方法。一个报表这么用挺好,另外一个报表用同样的方法,愣是刷不出数来!调试发现convertFromString压根就没执行!啥情况?Action中set/get方法与properties中的配置不一致,实际上俺们系统就是一个该大写字母的地方用了小写字母“而已”。就这样我们奋战了三天,终于让系统焕然一新!
最后讲个故事,真实的故事。大名鼎鼎的CHI病毒,有一天终于爆发了。俺们宿舍有一台电脑,是为数不多的之一,居然逃过了一劫。为什么呢?这台电脑有点老旧,对CHI居然不感冒:)
本文转自 hexiaini235 51CTO博客,原文链接:http://blog.51cto.com/idata/1333477,如需转载请自行联系原作者
