Struts2再爆高危漏洞 云锁可有效防御
文章来源: 发布者: 发布时间 : 2017-03-08
近日Apache Struts2再爆高危漏洞(漏洞编号:S2-045 CVE:CVE-2017-5638),如果目标服务器使用Jakarta插件处理文件上传,攻击者可构造恶意Content-Type,利用Struts Jakarta解析文件上传请求包不当的漏洞,实现远程代码执行,甚至获得服务器root权限。
Apche 官方公告
防护方式
方法一:将Struts升级至最新版本。
方法二:基于云锁的HTTP请求头防护功能,过滤 Content-Type 里的内容,可以有效防御该漏洞。
操作方式:在云锁应用防护-web应用设置-HTTP请求头防护中添加防护规则。
HTTP头标标识:Content-Type
规则内容:ognl.OgnlContext
HTTP请求头防护是云锁web应用防护的功能之一,能对HTTP请求头中的其他字段进行自定义规则防护,除此之外云锁web应用防护还包括:网站漏洞防护(WAF)、RASP(Runtime Application Self Protection)、网站后台防护、抗CC攻击、敏感词过滤、防多线程下载、HTTP响应内容防护等功能,能帮护用户全方位防护web应用安全,抵御已知、未知网络攻击。
云锁网络安全防护体系:规则+行为+沙盒+内核加固
① 网络流量在经过web中间件(IIS、apache、nginx、tomcat等)时首先会经过云锁WAF探针的过滤,通过防护规则(基于签名)可以有效的防御已知安全漏洞攻击,用户也可以自定义防护规则;
② 网络流量到达语言解释器,云锁RASP(Runtime Application Self Protection)探针会再次对应用系统的流量、上下文、行为进行持续监控,识别及防御已知及未知威胁,能有效防御SQL注入、命令执行、文件上传、任意文件读写、反序列化、Struts2等基于传统签名方式无法有效防护的应用漏洞;
③ 通过双重检测的流量才可以访问数据库或者文件;
④ 检测有异常行为的webshell,云锁会将样本上传回云中心沙盒,基于脚本虚拟机的无签名Webshell检测技术,可以有效检测各种加密、变形的Webshell;
⑤ 沙盒将检测结果返回WAF探针和RASP探针,并自动更新防护规则;
⑥ 云锁基于虚拟化安全域技术(ASVE),通过将应用进程放入虚拟化安全域内,限制应用进程权限,防止黑客利用应用程序漏洞提权、创建可执行文件等非法操作。