797      技术社区[云栖]

游戏安全资讯精选 2017年 第七期：游戏账号窃取日益猖獗，Struts2 REST插件远程执行命令漏洞全面分析，2017世界物联网博览会IoT安全观点

游戏账号窃取日益猖獗，游戏运维人员如何做好防范？点击查看原文

概要：盗取游戏账号主要目的是获取个人信息在暗网售卖，并且用账号、虚拟货币、虚拟装备来盈利，这也意味着，游戏行业越发达，安全风险也就越高，因为攻击者的盈利空间越大。作为游戏公司，可以通过特殊的网站，定期引导玩家去检查自己的账户密码是否受到数据泄露的影响；如果遇到游戏账号丢失或大面积被窃取，游戏公司需要尽快做好沟通；安全运维人员要随时关注登录游戏的活跃IP，如果遇到IP增加的情况，则需要及时提防响应；同时需要为安全准备相应的资源，安全产品能灵活扩展很重要；最后，通过序列号，个人信息验证机制，来确保玩家身份的真实性。

Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文

概要：2017年9月5日，Apache Struts 2官方发布一个严重级别的安全漏洞公告，该漏洞由国外安全研究组织lgtm.com的安全研究人员发现，漏洞编号为CVE-2017-9805（S2-052）。

点评：当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤，可以导致远程执行代码，攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。

建议运维人员或开发人员尽快关注并资产，可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在，建议您尽快按照以下方式修复漏洞。

2017世界物联网博览会：IoT安全观点。点击查看原文

概要：9月10日，2017世界物联网博览会在江苏无锡拉开帷幕，阿里巴巴集团携阿里云IoT及蚂蚁金服参会在9月11日的安全智能高峰论坛上，三位阿里巴巴的IoT安全研究者：阿里云首席安全科学家吴翰清，阿里巴巴资深IoT安全专家谢君，和阿里巴巴集团安全部安全研究专家王康，从趋势和技术两个角度，分享物联网给我们带来的价值，以及如何才能构筑安全、可信、在线的物联网。

查看其它行业资讯

往期回顾

 金融、政府、游戏安全资讯精选会通过云栖社区专栏，

如果您是阿里云用户，

最后更新：2017-09-12 22:02:28

  上一篇：  日志服务（原SLS）性能优化：一个SQL一秒分析一亿日志

  下一篇：  金融安全资讯精选 2017年第七期：Equifax 泄漏 1.43 亿用户数据，Struts2 REST插件远程执行命令漏洞全面分析，阿里云护航金砖五国大会