數(shù)天前美國信用機(jī)構(gòu)Equifax報告稱該公司遭遇黑客攻擊,可能致使約1.43億美國人的敏感信息被竊取。官員們現(xiàn)在相信他們已經(jīng)發(fā)現(xiàn)攻擊是如何被執(zhí)行的。五月份的黑客攻擊源于一個 Apache Struts漏洞——Apache Struts CVE-2017-5638。

漏洞利用特制的HTTP Headers(HTTP首部/HTTP報文）來允許黑客者在受害者的電腦上執(zhí)行任意命令。該漏洞被標(biāo)記為“大規(guī)模”，影響了無數(shù)網(wǎng)站。攻擊的兩個工作版本也在網(wǎng)上公布。許多大型機(jī)構(gòu)，如銀行，政府機(jī)構(gòu)和一些世界頂級公司，都在應(yīng)用程序中使用Apache Struts。

像這樣的漏洞會不時發(fā)生，非常難以避免。因此開發(fā)人員強(qiáng)烈建議盡快安裝補(bǔ)丁。雖然Equifax還沒有正式說明他們是否修復(fù)這個漏洞，但是對于攻擊如何發(fā)生也沒有其他可替代的解釋。這種攻擊對于黑客來說非常容易進(jìn)行。修復(fù)該漏洞涉及到手動更新，測試并重新部署到公司使用的所有Apache Struts Web應(yīng)用程序中。