思客云開源軟件安全漏洞檢測產品隨時信息技術的發展和國家網絡安全法的發布，信息和網絡安全問題越來越受到重視。而如今的黑客攻擊最主要的手段就是利用應用系統中所存在的安全漏洞。近幾年，特別是“心臟出血”安全漏洞曝發以后基于開源軟件漏洞2017年增長20%隨時信息技術的發展和國家網絡安全法的發布，信息和網絡安全問題越來越受到重視。而如今的黑客攻擊最主要的手段就是利用應用系統中所存在的安全漏洞。近幾年，特別是“心臟出血”安全漏洞曝發以后，利用應用系統中常見的開源軟件的漏洞進行大規模的黑客攻擊行為屢見不鮮，他們最常用和最簡單的方法就是通過一個已知的開源框架的安全漏洞，對同一類型的應用系統發動相同的攻擊，如針對相同的銀行的網銀類系統，或者是針對政府的門戶網站類系統進行大規模的攻擊，如果被攻擊的應用系統還沒有及時及對開源框架的漏洞進行修復，就可以很輕松地拿下這個應用系統。根據權威機構對開源項目所收集到的統計數據預測到，基于開源軟件漏洞的網絡攻擊活動數量在2017年增長20%。開源軟件漏洞管理——軟件安全保障新挑戰據統計，商業軟件項目的免費版本數量已經超過了50%甚至更多，而開源軟件產品所占比重從2011年的3%增長到了現在的33%。平均每一款商業軟件都會使用超過100個開源組件，而且三分之二的商業應用代碼中已知是存在安全漏洞的。以JAVA應用為例，由于開發的模式和開發框架技術的發展，幾乎很難找到一個完全不使用開源框架的應用系統，如JAVA的開源開發框架：Struts,Spring,Hibernate等幾乎成了JAVA應用系統開發的標準配置，無論是政府門戶網站，銀行的網上銀行系統，電商的銷售平臺，企業內部OA系統，甚至移動應用的服務器端系統都是在使用這些開源框架。但Struts2的安全漏洞卻是一波為平一波又起，如下圖，2016年4月26日，Struts2漏洞血洗互聯網。如下圖，是Apatch官網從2013年4月以后所統計的Struts2開源軟件的安全漏洞就有55個之多:

ApacheStruts2DocumentationCHILDPAGESNHomeSecurityBulletinsApacheStruts2DocumentationCHILDPAGESNHomeSecurityBulletins82-001kS2-002LS2-003S2-004S2-005S2-006S2-007S2-008S2-009S2-010S2-011S2-012S2-013S2-0140Spacetools■ ?S2-026—SpecialtopobjectcanbeusedtoaccessStruts'internalsS2-027—TextParseUtil.translateVariablesdoesnotfiltermaliciousOGNLexpressionsS2-028—UseofaJREwithbrokenURLDecoderimplementationmayleadtoXSSvulnerabilityinStruts2basedwebapplications.S2-029—ForceddoubleOGNLevaluation,whenevaluatedonrawuserinputintagattributes,mayleadtoremotecodeexecution.S2-030—PossibleXSSvulnerabilityin11SNInterceptorS2-031—XSLTResultcanbeusedtoparsearbitrarystylesheetS2-032—RemoteCodeExecutioncanbeperformedviamethod:prefixwhenDynamicMethodInvocationisenabled.S2-033—RemoteCodeExecutioncanbeperformedwhenusingRESTPluginwith!operatorwhenDynamicMethodInvocationisenabled.S2-034—OGNLcachepoisoningcanleadtoDoSvulnerabilityS2-035—ActionnamecleanupiserrorproneS2-036—ForceddoubleOGNLevaluation,whenevaluatedonrawuserinputintagattributes,mayleadtoremotecodeexecution(similartoS.S2-037—RemoteCodeExecutioncanbeperformedwhenusingRESTPlugin.S2-038—ItispossibletobypasstokenvalidationandperformaCSRFattackS2-039—GetterasactionmethodleadstosecuritybypassS2-040—Inputvalidationbypassusingexistingdefaultactionmethod.S2-041—PossibleDoSattackwhenusingURLValidatorS2-042—PossiblepathtraversalintheConventionpluginS2-043——UsingtheConfigBrowserplugininproductionS2-044—PossibleDoSattackwhenusingURLValidatorS2-045—PossibleRemoteCodeExecutionwhenperformingfileuploadbasedonJakartaMultipartparser.S2-046—PossibleRCEwhenperformingfileuploadbasedonJakartaMultipartparser(similartoS2-045)S2-047—PossibleDoSattackwhenusingURLValidator(similartoS2-044)S2-048—PossibleRCEintheStrutsShowcaseappintheStruts1pluginexampleinStruts2.3.xseriesS2-049—ADoSattackisavailableforSpringsecuredactionsS2-050—AregularexpressionDenialofServicewhenusingURLValidator(similartoS2-044&S2-047)S2-051—AremoteattackermaycreateaDoSattackbysendingcraftedxmlrequestwhenusingtheStrutsRESTpluginS2-052—PossibleRemoteCodeExecutionattackwhenusingtheStrutsRESTpluginwithXStreamhandlertohandleXMLpayloadsS2-053——ApossibleRemoteCodeExecutionattackwhenusinganunintentionalexpressioninFreemarkertaginsteadofstringliteralsS2-054—AcraftedJSONrequestcanbeusedtoperformaDoSattackwhenusingtheStrutsRESTpluginS2-055—ARCEvulnerabilityintheJacksonJSONlibrary思客云開源軟件安全漏洞檢測系統思客云正是根據用戶目前所面臨的這一問題，結合多年的安全漏洞檢測技術經驗，獨立自主地研發一套自動化開源軟件安全漏洞檢測系統。該系統是在企業內部建立一個開源框架漏洞應急響應云平臺，它能夠在漏洞發布的最短時間內自動化主動地探測開源框架漏洞的發布信息，到在企業內部對所有應用系統是否使用有安全漏洞的開源框架的具體情況進行快速檢測，并及時通知應用系統的相關管理人員進行快速修補。將這一安全漏洞事件的危害降到最小。

該檢測系統是一套集開源軟件安全漏洞收集，開源軟件安全檢查管理、安全檢查漏洞報警及發布、安全策略執行、開源軟件安全漏洞知識分享等為一體的綜合性開源軟件安全漏洞應急響的平臺級系統。這套系統將大大地方便企業級用戶在開源軟件組件漏洞曝露的改變傳統軟件安全測試工具的使用方式，成為企業級的產品解決方案。思客云■開源代碼檢測漏洞最多的項目ToplO崛目呂橙測配苴zbg-webl.0-2.5.1-3doud-5caner252椅婚情開源代踴辟zbg-Webl.&-2.5.1-3 血⑴訴盼1■開源代碼檢測漏洞最多的項目ToplO崛目呂橙測配苴zbg-webl.0-2.5.1-3doud-5caner252椅婚情開源代踴辟zbg-Webl.&-2.5.1-3 血⑴訴盼1showcasecloudStanerjfirial_demQelixra-scAner2-5^■1showcase—『cloud-web3.1出現次數最多的漏洞ToplO漏洞名CVE-2016-3082y^CVE-2017-CVE-2016-3082y^CVE-2017-12611CVE-2017-12611CVE-2016-a093CVE-2016-4436192.163.0.ISiOO/dcHjd&ecure/task/listTatal＞具體一個項目的檢測詳情報告:查看白名單導出報吉下載查看白名單導出報吉下載Exce服告項目名稱：＜JAVA_Webgoat＞項目版本：11.0序號名稱版本已知風險踣徑操作1struts2-rest-plugin2.3.7CVE-2017-9805 臼CVE-2017-9793 E3lib\lib\WebGoat5.0\WebContent\WEB-INRIib\stnjts2-rest-plugin-2.3.7.jarCVE-2016-0785CVE-2016-4003CVE-2013-4316CVE-2013-4310CVE-2013-2248CVE-2013-2251CVE-2013-2135CVE-2013-2115CVE-2013-1966CVE-2012-4387CVE-2011-3923CVE-2011-1772struts2-coreCVE-2016-3093lib\lib\WebGoat5.0\WebContent\WEB-INF\lib\stnjts2-core-.jar宙計struts2-coreCVE-2016-3093lib\lib\WebGoat5.0\WebContent\WEB-INF\lib\stnjts2-core-.jar宙計CVE-2015-5209CVE-2014-0112CVE-2014-7809CVE-2014-0116CVE-2014-0094CVE-2012-4386CVE-2017-12611CVE-2016-4461CVE-2016-3082＞思客云開源軟件漏洞管理平臺提供不同開發語言下的開源軟件的每個漏洞的解釋說明，修復建議和參考資料：思客云開源框架安全漏洞知識平臺rW開源框架漏洞知識庫:■US導入漏洞庫曰0JAVAOMaven卜。xmltoolingrW開源框架漏洞知識庫:■US導入漏洞庫曰0JAVAOMaven卜。xmltooling-chOjackrabbitswagger-parserSQLitemqttZuuloWittptomcat-nativeCVE-2018-1308漏洞名稱(CVE):ImproperRestrictionofXMLExternalEntityReference('XXE')漏洞名稱(CVE): XML外部擴展漏洞名稱(CNNVD): ApacheSolrDatalmportHandler安全漏洞bOxmlsec日€3SolrLO遠程反序列化代碼執行漏洞(CVE-2019I1-0XML外瀚囑(CVE-2(H8~13O8)ICVE^^：CVE-2018-1308CNNVg號:CNNVD-201804Y15危險等級：High影響版本：solr-core:1.2.0-6.6.2;solr-core:7.0.0-7.2.1j-0XML外部擴展(CVE-2018-8010)!0跨站點腳本(XSS)(CVE-2015-8795)1-0跨站點腳本(XSS)(CVE-2014-3628)〔。跨站點腳本(XSS)(CVE-2015-879