左耳听风
陈皓
网名“左耳朵耗子”,资深技术专家
180927 人已学习
新⼈⾸单¥98
登录后,你可以任选6讲全文学习
推荐试读
换一换
课程目录
已完结/共 119 讲
开篇词 (1讲)
开篇词 | 洞悉技术的本质,享受科技的乐趣
时长 05:40
技术基础 (20讲)
01 | 程序员如何用技术变现?(上)
时长 12:22
02 | 程序员如何用技术变现?(下)
时长 07:47
03 | Equifax信息泄露始末
时长 10:40
04 | 从Equifax信息泄露看数据安全
时长 14:06
05 | 何为技术领导力?
时长 11:54
06 | 如何才能拥有技术领导力?
时长 16:02
07 | 推荐阅读:每个程序员都该知道的知识
时长 11:08
08 | Go语言,Docker和新技术
时长 11:10
09 | 答疑解惑:渴望、热情和选择
时长 09:54
10 | 如何成为一个大家愿意追随的Leader?
时长 12:38
11 | 程序中的错误处理:错误返回码和异常捕捉
时长 14:54
12 | 程序中的错误处理:异步编程以及我的最佳实践
时长 12:05
13 | 魔数0x5f3759df
时长 14:21
14 | 推荐阅读:机器学习101
时长 13:59
15 | 时间管理:同扭曲时间的事儿抗争
时长 11:48
16 | 时间管理:如何利用好自己的时间?
时长 09:46
17 | 故障处理最佳实践:应对故障
时长 09:10
18 | 故障处理最佳实践:故障改进
时长 08:31
19 | 答疑解惑:我们应该能够识别的表象和本质
时长 15:31
20 | Git协同工作流,你该怎么选?
时长 20:47
分布式架构 (9讲)
21 | 分布式系统架构的冰与火
时长 09:42
22 | 从亚马逊的实践,谈分布式系统的难点
时长 14:50
23 | 分布式系统的技术栈
时长 09:52
24 | 分布式系统关键技术:全栈监控
时长 09:34
25 | 分布式系统关键技术:服务调度
时长 15:32
26 | 分布式系统关键技术:流量与数据调度
时长 11:27
27 | 洞悉PaaS平台的本质
时长 13:42
28 | 推荐阅读:分布式系统架构经典资料
时长 29:58
29 | 推荐阅读:分布式数据调度相关论文
时长 19:15
编程范式 (11讲)
30 | 编程范式:起源
时长 21:39
31 | 编程范式:泛型编程
时长 17:07
32 | 编程范式:类型系统和泛型的本质
时长 15:28
33 | 编程范式:函数式编程
时长 24:09
34 | 编程范式:修饰器模式
时长 11:09
35 | 编程范式:面向对象编程
时长 20:08
36 | 编程范式:基于原型的编程范式
时长 09:04
37 | 编程范式:Go语言的委托模式
时长 04:00
38 | 编程范式:编程的本质
时长 11:13
39 | 编程范式:逻辑编程范式
时长 04:35
40 | 程序世界里的编程范式总结
时长 04:03
弹力设计 (11讲)
41 | 弹力设计:认识故障和弹力设计
时长 09:24
42 | 弹力设计:隔离设计
时长 09:01
43 | 弹力设计:异步通讯设计
时长 13:00
44 | 弹力设计:幂等性设计
时长 11:48
45 | 弹力设计:服务的状态
时长 12:04
46 | 弹力设计:补偿事务
时长 13:48
47 | 弹力设计:重试设计
时长 09:55
48 | 弹力设计:熔断设计
时长 09:40
49 | 弹力设计:限流设计
时长 16:30
50 | 弹力设计:降级设计
时长 11:03
51 | 弹力设计总结
时长 07:34
管理设计 (6讲)
52 | 管理设计:分布式锁
时长 13:39
53 | 管理设计:配置中心
时长 14:15
54 | 管理设计:边车模式
时长 11:03
55 | 管理设计:服务网格
时长 10:43
56 | 管理设计:网关模式
时长 17:10
57 | 管理设计:部署升级策略
时长 10:28
性能设计 (5讲)
58 | 性能设计:缓存
时长 12:35
59 | 性能设计:异步处理
时长 13:46
60 | 性能设计:数据库扩展
时长 13:37
61 | 性能设计:秒杀
时长 08:58
62 | 性能设计:边缘计算
时长 14:16
区块链 (6讲)
63 | 区块链技术的本质
时长 16:54
64 | 区块链技术细节:哈希算法
时长 12:23
65 | 区块链技术细节:加密和挖矿
时长 11:16
66 | 区块链技术细节:去中心化的共识机制
时长 27:02
67 | 区块链技术细节:智能合约
时长 11:19
68 | 谈谈传统金融和虚拟货币
时长 22:59
程序员练级攻略 (23讲)
69 | 程序员练级攻略:介绍
时长 13:03
70 | 程序员练级攻略:零基础启蒙
时长 11:50
71 | 程序员练级攻略:正式入门
时长 12:54
72 | 程序员练级攻略:程序员修养
时长 11:56
73 | 程序员练级攻略:编程语言
时长 19:38
74 | 程序员练级攻略:理论学科
时长 11:58
75 | 程序员练级攻略:系统知识
时长 12:20
76 | 程序员练级攻略:软件设计
时长 26:26
77 | 程序员练级攻略:Linux系统、内存和网络
时长 16:27
78 | 程序员练级攻略:异步I/O模型和Lock-Free编程
时长 13:17
79 | 程序员练级攻略:Java底层知识
时长 07:55
80 | 程序员练级攻略:数据库
时长 10:40
81 | 程序员练级攻略:分布式架构入门
时长 14:44
82 | 程序员练级攻略:分布式架构经典图书和论文
时长 17:02
83 | 程序员练级攻略:分布式架构工程设计
时长 18:41
84 | 程序员练级攻略:微服务
时长 07:37
85 | 程序员练级攻略:容器化和自动化运维
时长 06:46
86 | 程序员练级攻略:机器学习和人工智能
时长 17:00
87 | 程序员练级攻略:前端基础和底层原理
时长 13:52
88 | 程序员练级攻略:前端性能优化和框架
时长 14:11
89 | 程序员练级攻略:UI/UX设计
时长 16:16
90 | 程序员练级攻略:技术资源集散地
时长 14:36
91 | 程序员练级攻略的正确打开方式
时长 10:39
程序员面试攻略 (4讲)
92 | 程序员面试攻略:面试前的准备
时长 16:18
93 | 程序员面试攻略:面试中的技巧
时长 19:22
94 | 程序员面试攻略:面试风格
时长 13:00
95 | 程序员面试攻略:实力才是王中王
时长 09:23
高效学习 (5讲)
96 | 高效学习:端正学习态度
时长 17:40
97 | 高效学习:源头、原理和知识地图
时长 11:37
98 | 高效学习:深度、归纳和坚持实践
时长 14:09
99 | 高效学习:如何学习和阅读代码?
时长 11:56
100 | 高效学习:如何面对枯燥和大量的知识?
时长 09:40
高效沟通 (6讲)
101 | 高效沟通:Talk和Code同等重要
时长 10:43
102 | 高效沟通:沟通阻碍和应对方法
时长 11:48
103 | 高效沟通:沟通方式及技巧
时长 13:55
104 | 高效沟通:沟通技术
时长 12:34
105 | 高效沟通:好老板要善于提问
时长 13:27
106 | 高效沟通:好好说话的艺术
时长 29:40
Go语言编程模式 (9讲)
107 | Go编程模式:切片、接口、时间和性能
时长 09:53
108 | Go编程模式:错误处理
时长 09:35
109 | Go编程模式:Functional Options
时长 05:40
110 | Go编程模式:委托和反转控制
时长 05:23
111 | Go编程模式:Map-Reduce
时长 07:08
112 | Go编程模式:Go Generation
时长 06:54
113 | Go编程模式:修饰器
时长 06:14
114 | Go编程模式:Pipeline
时长 03:24
115 | Go编程模式:Kubernetes Visitor模式
时长 05:57
结束语 & 加餐 (3讲)
结束语 | 业精于勤,行成于思
时长 10:54
加餐 | 谈谈我的“三观”
时长 20:51
迭代|全新交付专栏全部音频
时长 02:48
左耳听风
15
15
1.0x
00:00/00:00
登录|注册

03 | Equifax信息泄露始末

陈皓,郭蕾,杨爽
Apache软件基金会的回应和分析
其他Struts的严重安全漏洞
Equifax中招的CVE-2017-5638漏洞
Struts 2在中国的分布和安全公告
Struts 2的安全漏洞和更新情况
Apache Struts的历史和发展
Equifax阿根廷员工门户泄露
其他安全漏洞和管理面板的问题
Equifax未修复漏洞导致信息泄露
Equifax对安全操作进行审查
Equifax市值蒸发和诉讼数量增加
受影响的用户数量和事件影响
Equifax的主营业务和受影响范围
Equifax确认黑客利用Apache Struts漏洞发起攻击
下节课的主题和预告
Apache Struts漏洞相关
Equifax信息泄露始末
左耳朵耗子:看Equifax信息泄露始末

该思维导图由 AI 生成,仅供参考

你好,我是陈皓,网名左耳朵耗子。
相信你一定有所耳闻,9 月份美国知名征信公司 Equifax 出现了大规模数据泄露事件,致使 1.43 亿美国用户及大量的英国和加拿大用户受到影响。今天,我就来跟你聊聊 Equifax 信息泄露始末,并对造成本次事件的原因进行简单的分析。

Equifax 信息泄露始末

Equifax 日前确认,黑客利用了其系统中未修复的 Apache Struts 漏洞(CVE-2017-5638,2017 年 3 月 6 日曝光)来发起攻击,导致了最近这次影响恶劣的大规模数据泄露事件。
作为美国三大信用报告公司中历史最悠久的一家,Equifax 的主营业务是为客户提供美国、加拿大和其他多个国家的公民信用信息。保险公司就是其服务的主要客户之一,涉及生命、汽车、火灾、医疗保险等多个方面。
此外,Equifax 还提供入职背景调查、保险理赔调查,以及针对企业的信用调查等服务。由于 Equifax 掌握了多个国家公民的信用档案,包括公民的学前和学校经历、婚姻、工作、健康、政治参与等大量隐私信息,所以这次的信息泄露,影响面积很大,而且性质特别恶劣。
受这次信息泄露影响的美国消费者有 1.43 亿左右,另估计约有 4400 万的英国客户和大量加拿大客户受到影响。事件导致 Equifax 市值瞬间蒸发掉逾 30 亿美元。
根据《华尔街日报》(The Wall Street Journal)的观察,自 Equifax 在 9 月 8 日披露黑客进入该公司部分系统以来,全美联邦法院接到的诉讼已经超过百起。针对此次事件,Equifax 首席执行官理查德·史密斯(Richard Smith)表示,公司正在对整体安全操作进行全面彻底的审查。
事件发生之初,Equifax 在声明中指出,黑客是利用了某个“U.S. website application”中的漏洞获取文件。后经调查,黑客是利用了 Apache Struts 的 CVE-2017-5638 漏洞。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

Equifax信息泄露事件揭示了Apache Struts漏洞的严重性,导致1.43亿美国用户及大量英国和加拿大用户的个人信息受到影响。该漏洞允许黑客利用远程代码执行攻击,而Equifax未及时修复该漏洞,导致敏感数据泄露。此次事件引发了大规模的诉讼和Equifax市值的急剧下跌。文章还揭示了Equifax安全意识的薄弱,包括管理面板的安全措施不力以及员工门户的数据泄露。事件的发生引起了对公司整体安全操作的全面审查,也引发了对信息安全意识的深刻反思。此外,文章还介绍了Apache Struts的历史和漏洞情况,强调了Struts 2的安全漏洞频发,尤其是CVE-2017-5638和CVE-2017-9805的严重性。文章指出,Equifax事件的发生可能与Struts漏洞未及时修复有关,同时也提到了Apache软件基金会对事件原因的回应。整体而言,本文通过深入分析Equifax事件和Apache Struts漏洞,呼吁企业加强安全意识和及时修复漏洞,以避免类似事件再次发生。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《左耳听风》新⼈⾸单¥98
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
06 | 如何才能拥有技术领导力?
28 | 推荐阅读:分布式系统架构经典资料
33 | 编程范式:函数式编程
64 | 区块链技术细节:哈希算法
83 | 程序员练级攻略:分布式架构工程设计
96 | 高效学习:端正学习态度
登录 后留言

全部留言(88)

  • 最新
  • 精选
  • 廖雪峰
    struts的开发就是弱者,类似eval()的东西默认就敢开
    2017-10-26
    16
    274
  • Sdylan
    #Equifax信息泄露始末笔记 1.使用开源的框架必须实时关注其动态,特别是安全漏洞方面 2.任何公开的入口,都必须进行严格的安全检查 3.框架的选型十分重要,必须将安全考察进去
    2018-06-01
    118
  • 李志博
    Struts 漏洞那么多,最好的办法就是赶快切换spring mvc
    2017-10-20
    61
  • javaadu
    使用开源框架,千万要注意其BUG和安全性,去年我们发现fastjson有个安全问题,整个公司在一个星期内都紧急检查和升级。现在github做得很好的一点是,会对我们的代码进行安全扫描,发现有包含安全性问题的版本的代码的时候,会给出升级提醒,在大一点的公司里也可以自己做这种安全扫描和提醒。
    2018-11-17
    5
    33
  • Richie
    事件: 大规模数据泄露 主角: Equifax —— 美国三大信用报告公司中历史最悠久的一家,其掌握了多个国家公民的信用档案,包括公民的学前、学校经历、婚姻、工作、健康、政治参与等大量隐私信息。 影响面: 致使1.43亿美国用户及大量的英国和加拿大用户受到影响,导致Equifax市值蒸发掉逾30亿美元。 事件原因: 在Struts高危漏洞披露后两个月仍没有升级版本及修复漏洞,导致被黑客利用。 根本原因: Equifax 的安全意识太弱(还有很多其他未修复的漏洞)
    2020-02-11
    19
  • Panda
    换spring-boot😈
    2018-04-25
    18
  • 艾尔欧唯伊
    很好奇,这些大牛是怎么注意到这些安全漏洞的。。。
    2018-08-31
    5
    13
  • 月伴寒江
    struts漏洞实在太多,补都补不赢,之前的项目后来都换成了Spring MVC。对于一些安全意识不高的企业,确实没什么人关注这些。
    2018-06-14
    12
  • 风起
    作为一个新员工,终于明白公司为什么有一个团队专门坐开源组建扫描评级, 还有为啥有代码安全扫描。
    2018-06-11
    12
  • MC
    哎,我的信息也在其中…
    2017-10-17
    11
收起评论
显示
设置
留言
88
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部