0.struts 2 事件两周年启示+乌云社区颁奖
TRANSCRIPT
⼤大会线上IRC沟通
http://irc.wooyun.io/
节⽇日快乐:路⼈人甲WooYun Summit 2015
2
ME
• 疯狗,85后,学渣
• 好多年的安全从业经验
• 乌云⺴⽹网联合创始⼈人/主站运营
3
BABY HACKER?
4
历史上的今
(昨)
天?
5
导⽕火索
• 2010年7⽉月9⽇日,第⼀一个XWork RCE POC现⾝身(S2-005)
6
导⽕火索
• 2010年7⽉月9⽇日,第⼀一个XWork RCE POC现⾝身(S2-005)
6
导⽕火索
• 2010年7⽉月9⽇日,第⼀一个XWork RCE POC现⾝身(S2-005)
6
关于 STRUTS2 你了解多少?
考考你:Struts2⾄至今为⽌止⼀一共出现过多少RCE级别安全漏洞?
7
0
2
3
5
6
2010 2011 2012 2013 2014 2015
RCE other
关于 STRUTS2 你了解多少?
7
关于 STRUTS2 你了解多少?
7
0
750
1500
2250
3000
2010 2011 2012 2013 2014 2015
乌云漏洞报告数量
关于 STRUTS2 你了解多少?
7
0
4
7
11
14
电商 娱乐 基础服务 传媒 物流 社交 运营商 制造业 民⽣生 ⾦金融 教育 交通 房地产 服务 医疗
漏洞影响⾏行业
乌云与 STRUTS2 的缘
8
乌云与 STRUTS2 的缘
8
乌云与 STRUTS2 的缘
8
乌云与 STRUTS2 的缘
8
乌云与 STRUTS2 的缘
8
乌云⽩白帽节
2013年漏洞爆发⽴立刻影响到的企业
9
……
国内STRUTS2漏洞应急情况
• 2012年6⽉月7⽇日国内⾸首次爆发(S2-009)
• 6⽉月7〜~9⽉月,逐渐下降
• 2013年7⽉月17⽇日再次爆发(S2-016)
• 爆发7⽉月17~7⽉月31,影响持续⾄至今
10
11
乌云漏洞吐槽平台
漏洞修复质量
12
漏洞修复质量
12
漏洞修复质量
12
漏洞修复质量
12
漏洞修复质量
12
给你们讲个笑话…弱⼝口令
13
给你们讲个笑话…弱⼝口令
13
0
100
200
300
400
14.6 14.7 14.8 14.9 14.10 14.11 14.12 15.1 15.2 15.3 15.4 15.5 15.6
⺴⽹网站弱⼝口令 服务弱⼝口令
新涌⼊入互联⺴⽹网的⾏行业与现状.
这些企业体验不太好• 新⺴⽹网华通
• 中科三⽅方
• 泛微OA
• 中国移动
• SAE15
这些企业体验还⾏行
• 同程旅游⺴⽹网
• ⼤大连万达集团
• ……
16
有的时候,你还得信邪
18尊重•进步•意义
乌云荣誉勋章漏洞报告平台总排⾏行 TOP10
乌云荣誉勋章漏洞报告平台总排⾏行 TOP10
WOOYUN PUZZLE LIVE答案发送到 [email protected] ,前三名有神秘礼物!
WOOYUN PUZZLE LIVE答案发送到 [email protected] ,前三名有神秘礼物!
THANKS ALL.
22