Разработчики: | Apache Software Foundation (ASF) |
Технологии: | Средства разработки приложений |
Apache Struts — фреймворк с открытым исходным кодом для создания Java EE веб-приложений. Страница проекта — struts.apache.org.
Создание
Фреймворк создан Крейгом МакКланаханом и передан Apache Foundation в мае 2000 года. Сначала находился в составе Apache Jakarta Project и был известен как Jakarta Struts. С 2005 года является проектом Apache верхнего уровня.[1]
Возможности
Фреймворк базируется на Java Servlet API и расширяет его, в архитектурном плане реализует (или дает возможность реализовать) паттерн MVC (Model-View-Controller/«Модель-Представление-Контроллер»/«Модель-Вид-Контроллер» — схема разделения данных приложения, пользовательского интерфейса и управляющей логики на три отдельных компонента (модель, представление и контроллер), за счет чего модификация каждого компонента может осуществляться независимо).Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
Struts поддерживает интернационализацию, облегчает валидацию данных полученных из веб-формы и предоставляет механизм создания шаблонов под названием Tiles, который, кроме всего прочего, позволяет наследовать веб-страницы.
2017: Уязвимость обусловила утечку данных 143 млн кредитных историй
12 сентября 2017 года стало известно о взломе, в результате которого хакеры получили данные о 143 млн американцев. Об этом сообщило бюро кредитных историй Equifax.
В результате инцидента злоумышленники получили доступ к именам, номерам соцстрахования, датам рождения, адресам и, в отдельных случаях, номерам водительских удостоверений американцев. Украдены номера банковских карт 209 тыс. клиентов, юридические документы 182 тыс. клиентов[2].
В отчёте William Baird & Co. утверждается, что взлом совершён через уязвимость в фреймворке Apache Struts. Он применяется на портале оказания онлайн-услуг потребителям. Утечку обнаружили 29 июля 2017 года. Непосредственный взлом проведен в середине мая 2017 года. Для взлома хакеры могли воспользоваться критической уязвимостью CVE-2017-9805 или уязвимостью, выявленной в марте 2017 года (CVE-2017-5638). Обе проблемы позволяют выполнить на сервере сторонний код, при этом если веб-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате удалённой атаки может быть получен доступ с правами root.
По мнению аналитиков, причиной утечки могла послужить уязвимость, присутствовавшая в фреймворке в течение девяти лет. В случае Apache Struts проблему устранили сразу после появления сведений о её наличии (о наличии проблемы сообщили 17 июля 2017 года, обновление с исправлением вышло 5 сентября 2017 года, в тот же день исследователи, выявившие проблему, обнародовали данные об уязвимости).
Apache Software Foundation не желает брать на себя ответственность за инцидент, произошедший до того, как ему стало известно о наличии уязвимости в Apache Struts, учитывая, что взлом произошел в мае.
Эксперты назвали утечку данных в Equifax очень серьезной.
По шкале от 1 до 10 она соответствует 10 баллам. Она влияет на всю кредитную систему США, поскольку никто не может изменить информацию, все используют одни и те же данные. |
Происшедшее — удар по репутации компании, специалистов которой нанимают для защиты пользовательских данных. Ситуация осложняется тем, что Equifax не предприняла никаких действий после проникновения на ее серверы в мае. Воровство информации клиентов совершалось до конца июля. Причины молчания компании о случившемся неизвестны.
Примечания
Подрядчики-лидеры по количеству проектов
Солар (ранее Ростелеком-Солар) (46)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15)
Форсайт (11)
Axiom JDK (БеллСофт) ранее Bellsoft (10)
Бипиум (Bpium) (10)
Другие (393)
Солар (ранее Ростелеком-Солар) (8)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4)
ЛАНИТ - Би Пи Эм (Lanit BPM) (2)
IFellow (АйФэлл) (2)
Консом групп, Konsom Group (КонсОМ СКС) (2)
Другие (30)
Солар (ранее Ростелеком-Солар) (10)
Форсайт (3)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
КРИТ (KRIT) (2)
Cloud.ru (Облачные технологии) ранее SberCloud (2)
Другие (13)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (ранее Ростелеком-Солар) (2, 48)
Microsoft (41, 47)
Oracle (49, 26)
Hyperledger (Open Ledger Project) (1, 23)
IBM (33, 18)
Другие (607, 308)
Солар (ранее Ростелеком-Солар) (1, 8)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4)
Microsoft (4, 3)
Oracle (2, 3)
SAP SE (2, 2)
Другие (16, 19)
Солар (ранее Ростелеком-Солар) (1, 11)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3)
Форсайт (1, 3)
Cloud.ru (Облачные технологии) ранее SberCloud (1, 2)
Сбербанк (1, 2)
Другие (9, 9)
Солар (ранее Ростелеком-Солар) (1, 6)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4)
Мобильные ТелеСистемы (МТС) (1, 4)
SL Soft (СЛ Софт) (1, 3)
Другие (14, 24)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 4)
Мобильные ТелеСистемы (МТС) (2, 3)
Солар (ранее Ростелеком-Солар) (1, 3)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2)
Т1 (1, 1)
Другие (14, 14)
Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 48
Hyperledger Fabric - 23
Windows Azure - 20
FIS Platform - 15
Форсайт. Мобильная платформа (ранее HyperHive) - 12
Другие 328
Solar appScreener (ранее Solar inCode) - 8
FIS Platform - 4
Java - 2
Турбо X - 2
Парадокс: MES Builder - 2
Другие 22
Solar appScreener (ранее Solar inCode) - 11
Форсайт. Мобильная платформа (ранее HyperHive) - 3
BSS Digital2Go - 3
Cloud ML Space - 2
Axiom JDK (ранее Liberica JDK до 2022) - 1
Другие 8