LCS动态

首页 > LCS动态 > 到底有多少网站存在Struts2-045漏洞?

到底有多少网站存在Struts2-045漏洞?

2年前 热度:5971 ℃


自从零点开始各大SRC开始接收关于Struts2-045的漏洞,

早上一觉睡醒,发现各种Poc/Exp的流传,

中午到现在朋友圈一直刷着关于Struts2-045的各种漏洞分析文章、Poc/Exp分析等。

这个时候估计大批量的网络安全爱好者操起VPN,奔向Google,各种搜索index.do index.action 各种site:各种inurl: 各种google hacking语法,然而收到SRC的关闭和重复提示,内心是崩溃的!



受影响的软件版本

Struts 2.3.5 - Struts 2.3.31


Struts 2.5 - Struts 2.5.10


该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。攻击者通过修改http请求头中的Content-Type的值来触发该漏洞,进而执行命令获取更高的系统权限。发动内网攻击、威胁关键系统、窃取敏感资料等。

那么问题来了···

小编就想知道,刷爆朋友圈的Struts2-045漏洞到底有多少网站存在漏洞?

到底有多少呢???

凌晨网络科技旗下OreSand矿砂系统在对本地已有数据梳理采样,可以大概的看出一下端倪了,影响范围有多大呢?

矿砂系统抽样国内使用Struts2的33876个网络资产(含IP/域名/子域名)进行了检测,发现5728个的网络资产(含IP/域名/子域名)存在Struts2-045漏洞。





201703151489548011107902.jpg




其中对与我司签约授权3167网络资产(海量网络资产中使用Struts2的网络资产)进行了漏洞深度检测审核,存在Sturts2-045漏洞的为987个。其中互联网企业占比41%,传统行业占比17%,政府网站占比35%,运营商占比2%,其他占比5%






201703151489548032126410.jpg




对于此次Sturts2-045漏洞,利用的访问形式比较特殊,筛选的匹配规则也比较特殊,矿砂系统运用长期的网络资产发现、本地数据积累及精确的模型匹配算法,矿砂系统运用长期的网络资产发现及本地积累及精确的模型匹配算法,针对非IP端口类的漏洞利用模式进行了批量快速发现,精确模型匹配及高效的验证,迅速梳理完矿砂系统中已掌控的全国大部分网络资产。为我司客户及相关签约单位推送最新的企业资产安全状况及漏洞影响细节。





原文来源:公众号 凌晨雨袭


原文链接:到底有多少网站存在Struts2-045漏洞?


相关文章

2016的366个“凌晨”

2016的366个“凌晨”

记住2016的366个凌晨!在WeehourSEC人的心中,2016会有366个凌晨!365个奋斗的日夜与365个凌晨!加上他们自己本身,凌晨网络科技!366个凌晨!我们的团队与公司无关?大家说,安全...

凌晨网络科技入围“安全创客汇”十强 10亿资金投向安全行业

凌晨网络科技入围“安全创客汇”十强 10亿资金投向安全行业

近日,“安全创客汇”十强企业揭晓,凌晨网络科技等十家初创公司入选十强,并将亮相2016互联网安全大会,现场演示最前沿的安全技术。云安全和大数据 是信息安全创业热点“安全创客汇由”360互联网安全中心和...

安全·值,归属·感—凌晨网络科技新品发布会来袭!

安全·值,归属·感—凌晨网络科技新品发布会来袭!

365+个日日夜夜,终于迎来了这次发布会。N位研发人员的齐心努力,终于迎来了这次产品。从年初到现在,已经有过大大小小无数场发布会了,而年底最后的,也该属于凌晨了吧?“做最早看见曙光的人”怀抱着这样希望...

【网络安全周】全国首个“青少年网络安全教育试点基地”在沪挂牌凌晨网络科技受邀出席

【网络安全周】全国首个“青少年网络安全教育试点基地”在沪挂牌凌晨网络科技受邀出席

9月22日,在“第三届国家网络安全宣传周(上海地区)暨第六届上海市信息安全活动周”青少年日上,首个“青少年网络安全教育试点基地”在上海市长宁区愚园路第一小学挂牌。这是国内第一个通过“数字科普”、&nb...

GeekPwn破解秀:黑客叔叔p0tt1大谈《保险箱的脆弱面》

GeekPwn破解秀:黑客叔叔p0tt1大谈《保险箱的脆弱面》

昨日, XCTF国际联赛总决赛暨网络安全技术论坛如约而至。全球最顶尖的十支黑客战队轮番上演攻防戏码,同时,赛场的另一边,同样迸发出一阵阵热烈的掌声——来自GeekPwn澳门站的获奖者们,带来了的智能设...

凌晨网络科技参加信息安全公益活动进校园

凌晨网络科技参加信息安全公益活动进校园

由中共上海市委网络安全和信息化领导小组办公室、上海市教育委员会、上海市经济和信息化委员会、上海市科学技术委员会、共青团上海市委员会指导,长宁区科学技术委员会、长宁区科学技术协会、长宁区教育局、上海市信...

[夏日凌晨活动]凌晨送福利啦!

[夏日凌晨活动]凌晨送福利啦!

如果你想参与免费领取礼品套装,又不想看我废话,请直接滑到文章底部!来来来! 小凌子给大家送福利来了哦!大家知道的雨袭团从早期的SniFFeR.Pro团队开始就一直延续着每年冬夏两次团队服装放松的传统!...

建设“平安广州”新实践 “警企共建”增强安全防范保护意识

建设“平安广州”新实践 “警企共建”增强安全防范保护意识

今天(12月28日)下午,广州警方“平安广州”宣讲团联合广州汽车工业集团有限公司,举办“平安广州 走进广汽”的宣讲活动。内保、网警、特警、交警、社区民警等一众警方“大咖”登场,聚焦“平安”主题,融入“...