1. 了解不了解openssl?知道最近爆出的openssl漏洞吗?怎么补救?
openssl是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。SSL是Secure Socket Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。
在2013年6月底发布的Struts 2.3.15版本被曝出存在重要的安全漏洞h,主要问题如下:
- 可远程执行服务器脚本代码,用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘command’,’goes’,’here’})).start()}链接,command goes here可以换成是破坏脚本的路径和参数,比如fdisk -f等,造成破环系统无法运行的目的。
- 重定向漏洞,用户可以构造如知名网站淘宝的重定向连接,形如<a href=”http://www.淘宝.com/item00001.html?redirect:http://黑客/getyourPassword”>打折新款</a>,引导用户点击后进入钓鱼网站,在界面上让其进行登陆用以获取用户的密码。