Struts2漏洞（S2-020)引发的互联网行为

最近两天微博上爆发了一大波Struts2漏洞刷屏，几大互联网安全公司相互角力，某些互联网行为彰显无疑。正好借着这个事件，来吐槽下现如今火热的互联网安全公司。   先简单描述下这个Struts2漏洞事件吧：  

这个漏洞被公布大约是今年3月中旬左右，漏洞编号是S2-020，漏洞公告请点击这里。然后3月底左右百度公开了这个漏洞的RCE（远程代码执行）的利用方法，证明这个漏洞的危害之大，详情请点击这里。 再之后就是前两天出现的，所谓的“紧急预警Struts2高危安全漏洞”，也就是这个编号为S2-020漏洞的修补方案被绕过，而导致的这个漏洞重新造成危害。  

事情大概就是这样，但是有意思的是，这个漏洞第一次被公开的3月中旬，各家都是简单无力的提了两句。而这次绕过方法一出，都跟打了鸡血似的，各种吆喝，各种比拼。   同样的一个漏洞，为啥差距就那么大呢？   这其中不乏高危利用方式被曝光的影响，但最主要的原因我觉得就是四个字：借鸡下蛋，借漏洞的鸡来下宣传的蛋。其实这也无可厚非，公司要运营，大家要吃饭，有好机会当然要喊两嗓子了，但是宣传也不要太过。   这就是我第一个要吐槽互联网安全公司的问题——媒体属性，互联网公司几乎都会有这个问题，毕竟整个互联网就是一个大的媒体平台，不好好利用岂不是浪费了。其实这些公司的行为和电视广告也没什么区别，但是也要有度。看个40分钟的电视剧，20分钟是在广告中度过的，搁谁谁不骂街。   本来我微博上关注了一个当时看上去不错的互联网安全公司，经常发一些行业热点，偶尔还会发些小清晰的文字，看着还是挺享受的。谁知没过几个月，每天早上满屏的无聊咨询，我只好挑着几个暂时有用的微博留下，其他的取关。   而且，这还不算完，最近一段时间，只要是和他们有关的热点，他们就会发动一切公司人员转发，搞的微博跟新闻联播似的，慢慢一页都是一条内容。不过也好，无聊时可以调侃他们解闷。   第一个问题就吐槽到这，下面我在来吐槽下第二个问题——忽悠群众。   昨天看到数字集团发布了一个关于Struts2这个漏洞的扫瞄网站，好奇心驱使下我去测试了下。然后就发现，这个扫瞄网站向测试网站发送了三个访问，然后就没有然后了。这貌似不是扫瞄，是路过吧-_-#。   之后我想到听过一个在某大型互联网公司呆过的朋友说过，安全卫士之类的软件，如果竞争对手上了一个不错的功能，自己技术却又达不到，不能及时给自己的产品实现这个功能，那么就先做个UI（图形界面）给用户先点着玩。。。。。。   看来数字深得互联网精髓，第一个做出来了UI并投入了使用。   而且更娱乐的是，我在截图指出这个问题的时候，被回复是你抓包的姿势不对凸^-^凸。我在这里很理智的跟各位说，我根本就不用抓包，直接看访问日志就可以。这个漏洞我当初也在跟，而且在很早的时候就知道了RCE的方法，所以我很清楚这个漏洞的相关触发点在什么地方。   但是，你们他妈发了3个毛关系都没有的GET请求，然后告诉我是你不懂，你要是发POST这么说我也就忍了。赤裸裸的GET请求摆在我面前，还那么牛屄，我操，得亏是我现在修养高了，要不然我卷的你妈都不认识你！   （深呼吸，调整情绪）   从这件事，我们不难看出不会大忽悠的公司，不是互联网公司。而且，我认为这个行为是严重的破坏生态圈的行为。想想现在我天朝ZF的公信力为什么那么低，还不是当初忽悠多了导致的。照现在这些互联网安全公司忽悠下去，估计以后都没人信安全这件事了。   而且现下互联网公司忽悠的大影响事件，信七成足以。虽然现实中他们口中的那些牛人真的存在，但在无冤无仇的前提下，人家也没那么闲的蛋疼，去搞你，除非是你有一些可以为他们创造价值的东西。所以，我们普通人就安安分分的过我们自己的日子就好了。当然安全的事情也还是要小心，把基本的安全防护做好了，挡住那些闲得蛋疼的小黑，也就够了。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/