thinkphp是国产的php框架,使用的程序员很多,在fofa上搜索,大致有10万多的网站使用 thinkphp
还有很多cms也是用thinkphp开发的,100万个网站数量应该不会有太大的出入。
此次曝光的 thinkphp的漏洞,属于高危漏洞(https://my.oschina.net/u/1464083/blog/2993010), 可以很轻易的拿到网站的webshell。但是在我的观察中这样的漏洞可能并没有引起太多开发者的高度注意,依然很多网站存在该漏洞,虽然有些网站权限做好了,没有写入的权限或者执行的权限,但是有查看的权限,数据库、短信接口、云存储 等账号信息都是可以轻易查到的,为进一步渗透埋下了极大的安全隐患。
可能对于大多数小公司来讲安全这个事情并没有太关注,更多的是考虑快速开发业务,预算有限也顾不了安全方面的问题。所以每年都会曝光一些比较大的安全事件,今年依然会如此,人性如此,江湖如此。接下来的就是漏洞的利用,拿到webshell之后,获取有价值的数据,或者做肉鸡发起ddos攻击这是一般的漏洞利用之法。
就目前来看已经爆发了小规模的利用thinkphp漏洞的DDOS攻击事件,接下来的就是多个这样的事件慢慢爆发,又或者是XX数据门了。
互联网江湖从来不是柔软之人的长居之地,利益纷争实际变的更加隐秘,有攻击者,有防守者,攻击和防守本就是利益纷争的结果,倘若江湖原本就相安无事,要防守者作何用?那防守者高昂的保护费从哪里赚取。攻击者攻击目标勒索对方,碰到服硬者,运气尚佳赚个费用。
这个江湖讲的是智商,讲的是技术。高智商者,技术能力优异者尚可在黑白之间赚取利益。
网友评论