Apache Struts

Продукт
Разработчики: Apache Software Foundation (ASF)
Технологии: Средства разработки приложений

Apache Struts — фреймворк с открытым исходным кодом для создания Java EE веб-приложений. Страница проекта — struts.apache.org.

Создание

Фреймворк создан Крейгом МакКланаханом и передан Apache Foundation в мае 2000 года. Сначала находился в составе Apache Jakarta Project и был известен как Jakarta Struts. С 2005 года является проектом Apache верхнего уровня.[1]

Возможности

Фреймворк базируется на Java Servlet API и расширяет его, в архитектурном плане реализует (или дает возможность реализовать) паттерн MVC (Model-View-Controller/«Модель-Представление-Контроллер»/«Модель-Вид-Контроллер» — схема разделения данных приложения, пользовательского интерфейса и управляющей логики на три отдельных компонента (модель, представление и контроллер), за счет чего модификация каждого компонента может осуществляться независимо).Как зародилась масштабная коррупционная схема при внедрении ИТ в ПФР при участии «Техносерва» и «Редсис». Подробности 38.6 т

Struts поддерживает интернационализацию, облегчает валидацию данных полученных из веб-формы и предоставляет механизм создания шаблонов под названием Tiles, который, кроме всего прочего, позволяет наследовать веб-страницы.

2017: Уязвимость обусловила утечку данных 143 млн кредитных историй

12 сентября 2017 года стало известно о взломе, в результате которого хакеры получили данные о 143 млн американцев. Об этом сообщило бюро кредитных историй Equifax.

В результате инцидента злоумышленники получили доступ к именам, номерам соцстрахования, датам рождения, адресам и, в отдельных случаях, номерам водительских удостоверений американцев. Украдены номера банковских карт 209 тыс. клиентов, юридические документы 182 тыс. клиентов[2].

В отчёте William Baird & Co. утверждается, что взлом совершён через уязвимость в фреймворке Apache Struts. Он применяется на портале оказания онлайн-услуг потребителям. Утечку обнаружили 29 июля 2017 года. Непосредственный взлом проведен в середине мая 2017 года. Для взлома хакеры могли воспользоваться критической уязвимостью CVE-2017-9805 или уязвимостью, выявленной в марте 2017 года (CVE-2017-5638). Обе проблемы позволяют выполнить на сервере сторонний код, при этом если веб-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате удалённой атаки может быть получен доступ с правами root.

По мнению аналитиков, причиной утечки могла послужить уязвимость, присутствовавшая в фреймворке в течение девяти лет. В случае Apache Struts проблему устранили сразу после появления сведений о её наличии (о наличии проблемы сообщили 17 июля 2017 года, обновление с исправлением вышло 5 сентября 2017 года, в тот же день исследователи, выявившие проблему, обнародовали данные об уязвимости).

Apache Software Foundation не желает брать на себя ответственность за инцидент, произошедший до того, как ему стало известно о наличии уязвимости в Apache Struts, учитывая, что взлом произошел в мае.

Эксперты назвали утечку данных в Equifax очень серьезной.

«
По шкале от 1 до 10 она соответствует 10 баллам. Она влияет на всю кредитную систему США, поскольку никто не может изменить информацию, все используют одни и те же данные.

Авива Литан, аналитик Gartner
»

Происшедшее — удар по репутации компании, специалистов которой нанимают для защиты пользовательских данных. Ситуация осложняется тем, что Equifax не предприняла никаких действий после проникновения на ее серверы в мае. Воровство информации клиентов совершалось до конца июля. Причины молчания компании о случившемся неизвестны.

Примечания



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Microsoft (41, 47)
  Солар (ранее Ростелеком-Солар) (2, 46)
  Oracle (49, 26)
  Hyperledger (Open Ledger Project) (1, 23)
  IBM (33, 18)
  Другие (553, 270)