【每周遊戲行業ddos态勢】
【遊戲安全動态】
<b>概要:</b>盜取遊戲賬号主要目的是擷取個人資訊在暗網售賣,并且用賬号、虛拟貨币、虛拟裝備來盈利,這也意味着,遊戲行業越發達,安全風險也就越高,因為攻擊者的盈利空間越大。
作為遊戲公司,可定期引導玩家去檢查自己的賬戶密碼是否受到資料洩露的影響;如果遇到遊戲賬号丢失或大面積被竊取,遊戲公司需要盡快做好溝通;安全運維人員要随時關注登入遊戲的活躍ip,如果遇到ip增加的情況,則需要及時提防響應;同時需要為安全準備相應的資源,安全産品能靈活擴充很重要;最後,通過序列号,個人資訊驗證機制,來確定玩家身份的真實性。
【相關安全事件】
概要:2017年9月5日,apache struts 2官方釋出一個嚴重級别的安全漏洞公告,該漏洞由國外安全研究組織lgtm.com的安全研究人員發現,漏洞編号為cve-2017-9805(s2-052)。
<b>點評:</b>當struts2使用rest插件使用xstream的執行個體xstreamhandler處理反序列化xml有效載荷時沒有進行任何過濾,可以導緻遠端執行代碼,攻擊者可以利用該漏洞構造惡意的xml内容擷取伺服器權限。
建議運維人員或開發人員盡快關注并資産,可以檢查使用了rest插件struts版本是否在受影響範圍内。如果存在,建議您盡快按照以下方式修複漏洞。
目前官方已經釋出更新檔,建議更新到 apache struts2.5.13、apache struts 2.3.34版本。阿裡雲雲盾waf已釋出該漏洞規則,使用者可以通過waf,對利用該漏洞的攻擊行為進行檢測和防禦,最大程度減少安全風險。
【雲上視角】
<b></b>
<b>概要:</b>9月10日,2017世界物聯網博覽會在江蘇無錫拉開帷幕,阿裡巴巴集團攜阿裡雲iot及螞蟻金服參會在9月11日的安全智能高峰論壇上,三位阿裡巴巴的iot安全研究者:阿裡雲首席安全科學家吳翰清,阿裡巴巴資深iot安全專家謝君,和阿裡巴巴集團安全部安全研究專家王康,從趨勢和技術兩個角度,分享物聯網給我們帶來的價值,以及如何才能構築安全、可信、線上的物聯網。
吳翰清提出,物聯網的未來價值在于連接配接與線上;端、連接配接和雲;iot作為基礎設施的三大支柱;與變革同時而來的是風險。龐大的資料量,實時的交換,如何對這些線上的資料做管控,是物聯網安全的關鍵。
<b>檢視其它行業資訊</b>
<a href="https://yq.aliyun.com/articles/204549?spm=5176.100244.teamhomeleft.4.swiiht" target="_blank">金融安全資訊精選 2017年第七期:equifax 洩漏 1.43 億使用者資料,struts2 rest插件遠端執行指令漏洞全面分析,阿裡雲護航金磚五國大會</a>
<b>往期回顧</b>
<a href="https://yq.aliyun.com/articles/195038?spm=5176.100244.teamhomeleft.42.swiiht" target="_blank">遊戲安全資訊精選 2017年 第六期:akamai報告稱遊戲是流量型攻擊的主要受害者,英國二手遊戲經銷商cex漏洞遭利用,mongodb等資料服務被劫持勒索風險預警,網絡安全上榜五大稀缺職業</a>
期待聽到您的回報
金融、政府、遊戲安全資訊精選會通過雲栖社群專欄,
阿裡雲安全微信和微網誌,每周與您見面。
如果您是阿裡雲使用者,
也歡迎通過郵件、釘釘公衆号檢視本周行業資訊。