⼤大会线上IRC沟通

http://irc.wooyun.io/

节⽇日快乐：路⼈人甲WooYun Summit 2015

2

ME

• 疯狗，85后，学渣

• 好多年的安全从业经验

• 乌云⺴⽹网联合创始⼈人/主站运营

3

BABY HACKER？

4

历史上的今

（昨）

天？

5

导⽕火索

• 2010年7⽉月9⽇日，第⼀一个XWork RCE POC现⾝身（S2-005）

6

导⽕火索

• 2010年7⽉月9⽇日，第⼀一个XWork RCE POC现⾝身（S2-005）

6

导⽕火索

• 2010年7⽉月9⽇日，第⼀一个XWork RCE POC现⾝身（S2-005）

6

关于 STRUTS2 你了解多少？

考考你：Struts2⾄至今为⽌止⼀一共出现过多少RCE级别安全漏洞？

7

0

2

3

5

6

2010 2011 2012 2013 2014 2015

RCE other

关于 STRUTS2 你了解多少？

7

关于 STRUTS2 你了解多少？

7

0

750

1500

2250

3000

2010 2011 2012 2013 2014 2015

乌云漏洞报告数量

关于 STRUTS2 你了解多少？

7

0

4

7

11

14

电商 娱乐 基础服务 传媒 物流 社交 运营商 制造业 民⽣生 ⾦金融 教育 交通 房地产 服务 医疗

漏洞影响⾏行业

乌云与 STRUTS2 的缘

8

乌云与 STRUTS2 的缘

8

乌云与 STRUTS2 的缘

8

乌云与 STRUTS2 的缘

8

乌云与 STRUTS2 的缘

8

乌云⽩白帽节

2013年漏洞爆发⽴立刻影响到的企业

9

……

国内STRUTS2漏洞应急情况

• 2012年6⽉月7⽇日国内⾸首次爆发（S2-009）

• 6⽉月7〜～9⽉月，逐渐下降

• 2013年7⽉月17⽇日再次爆发（S2-016）

• 爆发7⽉月17~7⽉月31，影响持续⾄至今

10

11

乌云漏洞吐槽平台

漏洞修复质量

12

漏洞修复质量

12

漏洞修复质量

12

漏洞修复质量

12

漏洞修复质量

12

给你们讲个笑话…弱⼝口令

13

给你们讲个笑话…弱⼝口令

13

0

100

200

300

400

14.6 14.7 14.8 14.9 14.10 14.11 14.12 15.1 15.2 15.3 15.4 15.5 15.6

⺴⽹网站弱⼝口令 服务弱⼝口令

新涌⼊入互联⺴⽹网的⾏行业与现状.

这些企业体验不太好• 新⺴⽹网华通

• 中科三⽅方

• 泛微OA

• 中国移动

• SAE15

这些企业体验还⾏行

• 同程旅游⺴⽹网

• ⼤大连万达集团

• ……

16

有的时候，你还得信邪

18尊重•进步•意义

乌云荣誉勋章漏洞报告平台总排⾏行 TOP10

乌云荣誉勋章漏洞报告平台总排⾏行 TOP10

WOOYUN PUZZLE LIVE答案发送到 puzzle@wooyun.org ，前三名有神秘礼物！

WOOYUN PUZZLE LIVE答案发送到 puzzle@wooyun.org ，前三名有神秘礼物！

THANKS ALL.

22