LCS动态

首页 > LCS动态 > 到底有多少网站存在Struts2-045漏洞?

到底有多少网站存在Struts2-045漏洞?

1年前 热度:5790 ℃


自从零点开始各大SRC开始接收关于Struts2-045的漏洞,

早上一觉睡醒,发现各种Poc/Exp的流传,

中午到现在朋友圈一直刷着关于Struts2-045的各种漏洞分析文章、Poc/Exp分析等。

这个时候估计大批量的网络安全爱好者操起VPN,奔向Google,各种搜索index.do index.action 各种site:各种inurl: 各种google hacking语法,然而收到SRC的关闭和重复提示,内心是崩溃的!



受影响的软件版本

Struts 2.3.5 - Struts 2.3.31


Struts 2.5 - Struts 2.5.10


该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。攻击者通过修改http请求头中的Content-Type的值来触发该漏洞,进而执行命令获取更高的系统权限。发动内网攻击、威胁关键系统、窃取敏感资料等。

那么问题来了···

小编就想知道,刷爆朋友圈的Struts2-045漏洞到底有多少网站存在漏洞?

到底有多少呢???

凌晨网络科技旗下OreSand矿砂系统在对本地已有数据梳理采样,可以大概的看出一下端倪了,影响范围有多大呢?

矿砂系统抽样国内使用Struts2的33876个网络资产(含IP/域名/子域名)进行了检测,发现5728个的网络资产(含IP/域名/子域名)存在Struts2-045漏洞。





201703151489548011107902.jpg




其中对与我司签约授权3167网络资产(海量网络资产中使用Struts2的网络资产)进行了漏洞深度检测审核,存在Sturts2-045漏洞的为987个。其中互联网企业占比41%,传统行业占比17%,政府网站占比35%,运营商占比2%,其他占比5%






201703151489548032126410.jpg




对于此次Sturts2-045漏洞,利用的访问形式比较特殊,筛选的匹配规则也比较特殊,矿砂系统运用长期的网络资产发现、本地数据积累及精确的模型匹配算法,矿砂系统运用长期的网络资产发现及本地积累及精确的模型匹配算法,针对非IP端口类的漏洞利用模式进行了批量快速发现,精确模型匹配及高效的验证,迅速梳理完矿砂系统中已掌控的全国大部分网络资产。为我司客户及相关签约单位推送最新的企业资产安全状况及漏洞影响细节。





原文来源:公众号 凌晨雨袭


原文链接:到底有多少网站存在Struts2-045漏洞?


相关文章

【网络安全周】全国首个“青少年网络安全教育试点基地”在沪挂牌凌晨网络科技受邀出席

【网络安全周】全国首个“青少年网络安全教育试点基地”在沪挂牌凌晨网络科技受邀出席

9月22日,在“第三届国家网络安全宣传周(上海地区)暨第六届上海市信息安全活动周”青少年日上,首个“青少年网络安全教育试点基地”在上海市长宁区愚园路第一小学挂牌。这是国内第一个通过“数字科普”、&nb...

[夏日凌晨活动]凌晨送福利啦!

[夏日凌晨活动]凌晨送福利啦!

如果你想参与免费领取礼品套装,又不想看我废话,请直接滑到文章底部!来来来! 小凌子给大家送福利来了哦!大家知道的雨袭团从早期的SniFFeR.Pro团队开始就一直延续着每年冬夏两次团队服装放松的传统!...

建设“平安广州”新实践 “警企共建”增强安全防范保护意识

建设“平安广州”新实践 “警企共建”增强安全防范保护意识

今天(12月28日)下午,广州警方“平安广州”宣讲团联合广州汽车工业集团有限公司,举办“平安广州 走进广汽”的宣讲活动。内保、网警、特警、交警、社区民警等一众警方“大咖”登场,聚焦“平安”主题,融入“...

2016的366个“凌晨”

2016的366个“凌晨”

记住2016的366个凌晨!在WeehourSEC人的心中,2016会有366个凌晨!365个奋斗的日夜与365个凌晨!加上他们自己本身,凌晨网络科技!366个凌晨!我们的团队与公司无关?大家说,安全...

做了三年的公益活动,然后呢~

做了三年的公益活动,然后呢~

在“3.15国际消费者日”来临之际,广州凌晨网络科技有限公司支持广东广播电视台经济科教频道,在3.15晚会中讲解了我司近三年来做公益活动,公共Wi-Fi安全中的一些脆弱性。●公共Wi-Fi的脆弱性●一...

凌晨网络科技入围“安全创客汇”十强 10亿资金投向安全行业

凌晨网络科技入围“安全创客汇”十强 10亿资金投向安全行业

近日,“安全创客汇”十强企业揭晓,凌晨网络科技等十家初创公司入选十强,并将亮相2016互联网安全大会,现场演示最前沿的安全技术。云安全和大数据 是信息安全创业热点“安全创客汇由”360互联网安全中心和...

凌晨网络科技"聚力·赋能"2016阿里安全峰会

凌晨网络科技"聚力·赋能"2016阿里安全峰会

7月13日,第三届《2016阿里安全峰会》在北京国家会议中心举行,会议在数据安全、电商安全、云安全、支付安全领域分享了理念与技术成果,凌晨网络科技作为阿里生态合作伙伴参与本次会议,凌晨网络科技CEO姚...

中国一线城市公共wifi安全与潜在威胁调查研究报告

中国一线城市公共wifi安全与潜在威胁调查研究报告

如需文档和PPT请邮件联系,乐意共享(时至今日才放出一些内容,因为期间团队要和很多地方沟通,见谅)其他报告的背景:《2015中国WiFi安全绿皮书》和某免费WiFi厂家 2014年发布的《中国公共Wi...