797      阿裏雲  技術社區[雲棲]

遊戲安全資訊精選 2017年 第七期：遊戲賬號竊取日益猖獗，Struts2 REST插件遠程執行命令漏洞全麵分析，2017世界物聯網博覽會IoT安全觀點

遊戲賬號竊取日益猖獗，遊戲運維人員如何做好防範？點擊查看原文

概要：盜取遊戲賬號主要目的是獲取個人信息在暗網售賣，並且用賬號、虛擬貨幣、虛擬裝備來盈利，這也意味著，遊戲行業越發達，安全風險也就越高，因為攻擊者的盈利空間越大。作為遊戲公司，可以通過特殊的網站，定期引導玩家去檢查自己的賬戶密碼是否受到數據泄露的影響；如果遇到遊戲賬號丟失或大麵積被竊取，遊戲公司需要盡快做好溝通；安全運維人員要隨時關注登錄遊戲的活躍IP，如果遇到IP增加的情況，則需要及時提防響應；同時需要為安全準備相應的資源，安全產品能靈活擴展很重要；最後，通過序列號，個人信息驗證機製，來確保玩家身份的真實性。

Struts2 REST插件遠程執行命令漏洞全麵分析。點擊查看原文

概要：2017年9月5日，Apache Struts 2官方發布一個嚴重級別的安全漏洞公告，該漏洞由國外安全研究組織lgtm.com的安全研究人員發現，漏洞編號為CVE-2017-9805（S2-052）。

點評：當Struts2使用REST插件使用XStream的實例xstreamhandler處理反序列化XML有效載荷時沒有進行任何過濾，可以導致遠程執行代碼，攻擊者可以利用該漏洞構造惡意的XML內容獲取服務器權限。

建議運維人員或開發人員盡快關注並資產，可以檢查使用了REST插件Struts版本是否在受影響範圍內。如果存在，建議您盡快按照以下方式修複漏洞。

2017世界物聯網博覽會：IoT安全觀點。點擊查看原文

概要：9月10日，2017世界物聯網博覽會在江蘇無錫拉開帷幕，阿裏巴巴集團攜阿裏雲IoT及螞蟻金服參會在9月11日的安全智能高峰論壇上，三位阿裏巴巴的IoT安全研究者：阿裏雲首席安全科學家吳翰清，阿裏巴巴資深IoT安全專家謝君，和阿裏巴巴集團安全部安全研究專家王康，從趨勢和技術兩個角度，分享物聯網給我們帶來的價值，以及如何才能構築安全、可信、在線的物聯網。

查看其它行業資訊

往期回顧

 金融、政府、遊戲安全資訊精選會通過雲棲社區專欄，

如果您是阿裏雲用戶，

最後更新：2017-09-12 22:02:28

  上一篇：  日誌服務（原SLS）性能優化：一個SQL一秒分析一億日誌

  下一篇：  金融安全資訊精選 2017年第七期：Equifax 泄漏 1.43 億用戶數據，Struts2 REST插件遠程執行命令漏洞全麵分析，阿裏雲護航金磚五國大會