Разработчики: | Apache Software Foundation (ASF) |
Технологии: | Средства разработки приложений |
Apache Struts — фреймворк с открытым исходным кодом для создания Java EE веб-приложений. Страница проекта — struts.apache.org.
Создание
Фреймворк создан Крейгом МакКланаханом и передан Apache Foundation в мае 2000 года. Сначала находился в составе Apache Jakarta Project и был известен как Jakarta Struts. С 2005 года является проектом Apache верхнего уровня.[1]
Возможности
Фреймворк базируется на Java Servlet API и расширяет его, в архитектурном плане реализует (или дает возможность реализовать) паттерн MVC (Model-View-Controller/«Модель-Представление-Контроллер»/«Модель-Вид-Контроллер» — схема разделения данных приложения, пользовательского интерфейса и управляющей логики на три отдельных компонента (модель, представление и контроллер), за счет чего модификация каждого компонента может осуществляться независимо).Цифровизация ритейла: тренды, инновации, крупнейшие ИТ-поставщики. Обзор TAdviser
Struts поддерживает интернационализацию, облегчает валидацию данных полученных из веб-формы и предоставляет механизм создания шаблонов под названием Tiles, который, кроме всего прочего, позволяет наследовать веб-страницы.
2017: Уязвимость обусловила утечку данных 143 млн кредитных историй
12 сентября 2017 года стало известно о взломе, в результате которого хакеры получили данные о 143 млн американцев. Об этом сообщило бюро кредитных историй Equifax.
В результате инцидента злоумышленники получили доступ к именам, номерам соцстрахования, датам рождения, адресам и, в отдельных случаях, номерам водительских удостоверений американцев. Украдены номера банковских карт 209 тыс. клиентов, юридические документы 182 тыс. клиентов[2].
В отчёте William Baird & Co. утверждается, что взлом совершён через уязвимость в фреймворке Apache Struts. Он применяется на портале оказания онлайн-услуг потребителям. Утечку обнаружили 29 июля 2017 года. Непосредственный взлом проведен в середине мая 2017 года. Для взлома хакеры могли воспользоваться критической уязвимостью CVE-2017-9805 или уязвимостью, выявленной в марте 2017 года (CVE-2017-5638). Обе проблемы позволяют выполнить на сервере сторонний код, при этом если веб-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате удалённой атаки может быть получен доступ с правами root.
По мнению аналитиков, причиной утечки могла послужить уязвимость, присутствовавшая в фреймворке в течение девяти лет. В случае Apache Struts проблему устранили сразу после появления сведений о её наличии (о наличии проблемы сообщили 17 июля 2017 года, обновление с исправлением вышло 5 сентября 2017 года, в тот же день исследователи, выявившие проблему, обнародовали данные об уязвимости).
Apache Software Foundation не желает брать на себя ответственность за инцидент, произошедший до того, как ему стало известно о наличии уязвимости в Apache Struts, учитывая, что взлом произошел в мае.
Эксперты назвали утечку данных в Equifax очень серьезной.
По шкале от 1 до 10 она соответствует 10 баллам. Она влияет на всю кредитную систему США, поскольку никто не может изменить информацию, все используют одни и те же данные. |
Происшедшее — удар по репутации компании, специалистов которой нанимают для защиты пользовательских данных. Ситуация осложняется тем, что Equifax не предприняла никаких действий после проникновения на ее серверы в мае. Воровство информации клиентов совершалось до конца июля. Причины молчания компании о случившемся неизвестны.
Примечания
Подрядчики-лидеры по количеству проектов
Солар (ранее Ростелеком-Солар) (46)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15)
Форсайт (11)
Бипиум (Bpium) (10)
Axiom JDK (БеллСофт) ранее Bellsoft (9)
Другие (384)
Солар (ранее Ростелеком-Солар) (8)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4)
Консом групп, Konsom Group (КонсОМ СКС) (2)
ЛАНИТ - Би Пи Эм (Lanit BPM) (2)
IFellow (АйФэлл) (2)
Другие (30)
Солар (ранее Ростелеком-Солар) (10)
Форсайт (3)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
Cloud.ru (Облачные технологии) ранее SberCloud (2)
КРИТ (KRIT) (2)
Другие (13)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (ранее Ростелеком-Солар) (2, 48)
Microsoft (41, 47)
Oracle (49, 26)
Hyperledger (Open Ledger Project) (1, 23)
IBM (33, 18)
Другие (583, 298)
Солар (ранее Ростелеком-Солар) (1, 8)
Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4)
Microsoft (4, 3)
Oracle (2, 3)
SAP SE (2, 2)
Другие (16, 19)
Солар (ранее Ростелеком-Солар) (1, 11)
Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3)
Форсайт (1, 3)
Сбербанк (1, 2)
Cloud.ru (Облачные технологии) ранее SberCloud (1, 2)
Другие (9, 9)
Солар (ранее Ростелеком-Солар) (1, 6)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6)
Мобильные ТелеСистемы (МТС) (1, 4)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4)
РЖД-Технологии (1, 3)
Другие (14, 24)
Мобильные ТелеСистемы (МТС) (2, 3)
Солар (ранее Ростелеком-Солар) (1, 3)
МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 2)
Сбербанк-Технологии (СберТех) (1, 1)
Другие (8, 8)
Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 48
Hyperledger Fabric - 23
Windows Azure - 20
FIS Platform - 15
Форсайт. Мобильная платформа (ранее HyperHive) - 12
Другие 318
Solar appScreener (ранее Solar inCode) - 8
FIS Platform - 4
Siemens Xcelerator - 2
Парадокс: MES Builder - 2
Турбо X - 2
Другие 22
Solar appScreener (ранее Solar inCode) - 11
BSS Digital2Go - 3
Форсайт. Мобильная платформа (ранее HyperHive) - 3
Cloud ML Space - 2
Nexign Microservices Framework - 1
Другие 8