DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

防cc_ddos防御盾_指南

05-03 DDOS防御

防cc_ddos防御盾_指南

美国国土安全部网络安全和基础设施安全局(DHS-CISA)最近公布了过去四年中最常被利用的十大软件漏洞名单。apachestruts是列表中第二大受攻击的技术。apachestruts是一个用于开发javaeeweb应用程序的开源web应用程序框架。虽然它成为了Equifax违规事件的根本原因,但它也与当年和此后数年内的其他6起违规事件联系在一起。对手攻破了Equifax和其他六个依赖Struts框架的组织的web应用程序。漏洞在公布漏洞后三天内发生。根据维基百科:[Struts2]使用并扩展了JavaServletAPI,以鼓励开发人员采用模型-视图-控制器(MVC)体系结构。Struts2有严重的安全漏洞,很多都与它使用OGNL技术有关;一些漏洞可能导致任意代码的执行。据报道,Equifax未能解决2017年3月提出的Struts 2漏洞,后来在2017年9月Equifax披露的数据泄露中被利用。请注意,Struts CVE可追溯到2017年,但CISA和FBI将其列为对手最成功的入侵切入点之一。自2017年以来,人们不仅知道它易受攻击,ddos防御更换ip,ddos本地防御,而且已知的Struts安全版本也在2017年宣布该漏洞的同一天提供。换句话说,如果开发团队努力更新他们的Struts框架,这些漏洞是100%可以避免的。Struts的易受攻击版本仍然被下载在Equifax和其他与Struts相关的漏洞发生三年之后,易受攻击的Struts版本的下载量仍在上升。一年前,每月易受攻击的下载量还不到60万,但到今年年底,易受攻击的Struts版本的下载量超过了100万。不仅仅是少数活跃的开发团队无意中下载了所有易受攻击的Struts版本。我们对从中央存储库下载的研究显示,超过10000个组织下载了这些组件。是什么导致了这种危险的行为?这可能是由于组织享受到使用已建立的、众所周知的、自由的开发框架所带来的好处。使用apachestruts的好处之一是用户社区和您收到的有关安全漏洞的通知。然而,缺点是开发人员仍然需要手动跟踪这些通知。Struts组件的持续使用可能反映出开发人员避免了更新和迁移带来的困难。如何在保护软件安全的同时从免费开放源码软件中获益有一种更好的方法可以快速更新漏洞通知和修复组件。对于组织来说,了解并监控他们正在使用的所有开源组件是很重要的。毕竟,有证据表明,ddos攻击的防御手段有哪些,组织将继续下载开源组件,即使是那些已经或可能变得脆弱的组件。那么,一个组织应该怎么做呢? 简而言之,更好地理解应用程序中的开源和第三方组件是非常重要的。通过在Nexus漏洞扫描程序中使用我们的免费分析,看看您的应用程序是否使用Struts,自建高防cdn实现故障,这是DHS CISA警告的十大漏洞之一。鼓励开发人员使用DepShield,它直接集成到GitHub repos中,以评估开源软件的依赖性。您还可以根据组件中发现的实际漏洞配置安全策略,而不是手动管理安全团队提供的黑名单。使用策略控件将易受攻击的Struts版本排除在Nexus存储库之外。这样,当在组件中发现新的漏洞时,cc防御策略1002cc防御策略,即使是安全白名单上的漏洞,Nexus Lifecycle的持续监控将比您的安全团队更新其白名单的速度更快地报告违规行为请记住,开源漏洞,包括ApacheStruts中被利用的漏洞造成的漏洞,比如2017年的Equifax漏洞,当我们将安全性转移到左边时,是完全可以预防的。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/67539.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8952213访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X