LCS动态

首页 > LCS动态 > 到底有多少网站存在Struts2-045漏洞?

到底有多少网站存在Struts2-045漏洞?

2年前 热度:6257 ℃


自从零点开始各大SRC开始接收关于Struts2-045的漏洞,

早上一觉睡醒,发现各种Poc/Exp的流传,

中午到现在朋友圈一直刷着关于Struts2-045的各种漏洞分析文章、Poc/Exp分析等。

这个时候估计大批量的网络安全爱好者操起VPN,奔向Google,各种搜索index.do index.action 各种site:各种inurl: 各种google hacking语法,然而收到SRC的关闭和重复提示,内心是崩溃的!



受影响的软件版本

Struts 2.3.5 - Struts 2.3.31


Struts 2.5 - Struts 2.5.10


该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。攻击者通过修改http请求头中的Content-Type的值来触发该漏洞,进而执行命令获取更高的系统权限。发动内网攻击、威胁关键系统、窃取敏感资料等。

那么问题来了···

小编就想知道,刷爆朋友圈的Struts2-045漏洞到底有多少网站存在漏洞?

到底有多少呢???

凌晨网络科技旗下OreSand矿砂系统在对本地已有数据梳理采样,可以大概的看出一下端倪了,影响范围有多大呢?

矿砂系统抽样国内使用Struts2的33876个网络资产(含IP/域名/子域名)进行了检测,发现5728个的网络资产(含IP/域名/子域名)存在Struts2-045漏洞。





201703151489548011107902.jpg




其中对与我司签约授权3167网络资产(海量网络资产中使用Struts2的网络资产)进行了漏洞深度检测审核,存在Sturts2-045漏洞的为987个。其中互联网企业占比41%,传统行业占比17%,政府网站占比35%,运营商占比2%,其他占比5%






201703151489548032126410.jpg




对于此次Sturts2-045漏洞,利用的访问形式比较特殊,筛选的匹配规则也比较特殊,矿砂系统运用长期的网络资产发现、本地数据积累及精确的模型匹配算法,矿砂系统运用长期的网络资产发现及本地积累及精确的模型匹配算法,针对非IP端口类的漏洞利用模式进行了批量快速发现,精确模型匹配及高效的验证,迅速梳理完矿砂系统中已掌控的全国大部分网络资产。为我司客户及相关签约单位推送最新的企业资产安全状况及漏洞影响细节。





原文来源:公众号 凌晨雨袭


原文链接:到底有多少网站存在Struts2-045漏洞?


相关文章

【安全无疆界】一场说走就走的内蒙之行!

【安全无疆界】一场说走就走的内蒙之行!

他们说:“其实就是之前only_guest说哥儿几个应该来一次内蒙之行,为了心中那一片自由的理想去一次乌拉盖,去一次狼性文化的发源地...没想到姜老板真的送了我们一场说走就走的旅行。”这是一场【真】说...

中国一线城市公共wifi安全与潜在威胁调查研究报告

中国一线城市公共wifi安全与潜在威胁调查研究报告

如需文档和PPT请邮件联系,乐意共享(时至今日才放出一些内容,因为期间团队要和很多地方沟通,见谅)其他报告的背景:《2015中国WiFi安全绿皮书》和某免费WiFi厂家 2014年发布的《中国公共Wi...

安全·值,归属·感—凌晨网络科技新品发布会来袭!

安全·值,归属·感—凌晨网络科技新品发布会来袭!

365+个日日夜夜,终于迎来了这次发布会。N位研发人员的齐心努力,终于迎来了这次产品。从年初到现在,已经有过大大小小无数场发布会了,而年底最后的,也该属于凌晨了吧?“做最早看见曙光的人”怀抱着这样希望...

凌晨网络科技参加信息安全公益活动进校园

凌晨网络科技参加信息安全公益活动进校园

由中共上海市委网络安全和信息化领导小组办公室、上海市教育委员会、上海市经济和信息化委员会、上海市科学技术委员会、共青团上海市委员会指导,长宁区科学技术委员会、长宁区科学技术协会、长宁区教育局、上海市信...

GeekPwn破解秀:黑客叔叔p0tt1大谈《保险箱的脆弱面》

GeekPwn破解秀:黑客叔叔p0tt1大谈《保险箱的脆弱面》

昨日, XCTF国际联赛总决赛暨网络安全技术论坛如约而至。全球最顶尖的十支黑客战队轮番上演攻防戏码,同时,赛场的另一边,同样迸发出一阵阵热烈的掌声——来自GeekPwn澳门站的获奖者们,带来了的智能设...

[夏日凌晨活动]凌晨送福利啦!

[夏日凌晨活动]凌晨送福利啦!

如果你想参与免费领取礼品套装,又不想看我废话,请直接滑到文章底部!来来来! 小凌子给大家送福利来了哦!大家知道的雨袭团从早期的SniFFeR.Pro团队开始就一直延续着每年冬夏两次团队服装放松的传统!...

8.6亿条个人信息怎么被“偷”?网络安全团队曝光交易内幕

8.6亿条个人信息怎么被“偷”?网络安全团队曝光交易内幕

交汇点讯  互联网到底会泄露多少信息?告诉你一个难以想象的数据,雨袭团信息安全团队花费一年半时间搜索出高达8.6亿条个人信息数据。2010年,国内知名信息安全团队雨袭团由南京人姚威...

建设“平安广州”新实践 “警企共建”增强安全防范保护意识

建设“平安广州”新实践 “警企共建”增强安全防范保护意识

今天(12月28日)下午,广州警方“平安广州”宣讲团联合广州汽车工业集团有限公司,举办“平安广州 走进广汽”的宣讲活动。内保、网警、特警、交警、社区民警等一众警方“大咖”登场,聚焦“平安”主题,融入“...