Struts2漏洞(S2-020)引发的互联网行为

业界 作者:邮箱投递 2014-04-27 16:46:22 阅读:325
最近两天微博上爆发了一大波Struts2漏洞刷屏,几大互联网安全公司相互角力,某些互联网行为彰显无疑。正好借着这个事件,来吐槽下现如今火热的互联网安全公司。   先简单描述下这个Struts2漏洞事件吧:  
这个漏洞被公布大约是今年3月中旬左右,漏洞编号是S2-020,漏洞公告请点击这里。然后3月底左右百度公开了这个漏洞的RCE(远程代码执行)的利用方法,证明这个漏洞的危害之大,详情请点击这里。 再之后就是前两天出现的,所谓的“紧急预警Struts2高危安全漏洞”,也就是这个编号为S2-020漏洞的修补方案被绕过,而导致的这个漏洞重新造成危害。  
事情大概就是这样,但是有意思的是,这个漏洞第一次被公开的3月中旬,各家都是简单无力的提了两句。而这次绕过方法一出,都跟打了鸡血似的,各种吆喝,各种比拼。   同样的一个漏洞,为啥差距就那么大呢?   这其中不乏高危利用方式被曝光的影响,但最主要的原因我觉得就是四个字:借鸡下蛋,借漏洞的鸡来下宣传的蛋。其实这也无可厚非,公司要运营,大家要吃饭,有好机会当然要喊两嗓子了,但是宣传也不要太过。   这就是我第一个要吐槽互联网安全公司的问题——媒体属性,互联网公司几乎都会有这个问题,毕竟整个互联网就是一个大的媒体平台,不好好利用岂不是浪费了。其实这些公司的行为和电视广告也没什么区别,但是也要有度。看个40分钟的电视剧,20分钟是在广告中度过的,搁谁谁不骂街。   本来我微博上关注了一个当时看上去不错的互联网安全公司,经常发一些行业热点,偶尔还会发些小清晰的文字,看着还是挺享受的。谁知没过几个月,每天早上满屏的无聊咨询,我只好挑着几个暂时有用的微博留下,其他的取关。   而且,这还不算完,最近一段时间,只要是和他们有关的热点,他们就会发动一切公司人员转发,搞的微博跟新闻联播似的,慢慢一页都是一条内容。不过也好,无聊时可以调侃他们解闷。   第一个问题就吐槽到这,下面我在来吐槽下第二个问题——忽悠群众。   昨天看到数字集团发布了一个关于Struts2这个漏洞的扫瞄网站,好奇心驱使下我去测试了下。然后就发现,这个扫瞄网站向测试网站发送了三个访问,然后就没有然后了。这貌似不是扫瞄,是路过吧-_-#。   之后我想到听过一个在某大型互联网公司呆过的朋友说过,安全卫士之类的软件,如果竞争对手上了一个不错的功能,自己技术却又达不到,不能及时给自己的产品实现这个功能,那么就先做个UI(图形界面)给用户先点着玩。。。。。。   看来数字深得互联网精髓,第一个做出来了UI并投入了使用。   而且更娱乐的是,我在截图指出这个问题的时候,被回复是你抓包的姿势不对凸^-^凸。我在这里很理智的跟各位说,我根本就不用抓包,直接看访问日志就可以。这个漏洞我当初也在跟,而且在很早的时候就知道了RCE的方法,所以我很清楚这个漏洞的相关触发点在什么地方。   但是,你们他妈发了3个毛关系都没有的GET请求,然后告诉我是你不懂,你要是发POST这么说我也就忍了。赤裸裸的GET请求摆在我面前,还那么牛屄,我操,得亏是我现在修养高了,要不然我卷的你妈都不认识你!   (深呼吸,调整情绪)   从这件事,我们不难看出不会大忽悠的公司,不是互联网公司。而且,我认为这个行为是严重的破坏生态圈的行为。想想现在我天朝ZF的公信力为什么那么低,还不是当初忽悠多了导致的。照现在这些互联网安全公司忽悠下去,估计以后都没人信安全这件事了。   而且现下互联网公司忽悠的大影响事件,信七成足以。虽然现实中他们口中的那些牛人真的存在,但在无冤无仇的前提下,人家也没那么闲的蛋疼,去搞你,除非是你有一些可以为他们创造价值的东西。所以,我们普通人就安安分分的过我们自己的日子就好了。当然安全的事情也还是要小心,把基本的安全防护做好了,挡住那些闲得蛋疼的小黑,也就够了。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

选择AiDeep,让人工智能为你工作:http://www.aideep.com/
四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接