因为Dubbo支持多种通信协议,官方则是Dubbo协议,而当我们安装Dubbo,除了使用官方提供协议,我们还要开启http协议提供,所以此次漏洞攻击者通过网站http协议通信时,攻击者向我们网站请求POST操作可以执行一个反序列化的操作,数据中可以执行任何编程代码,其中包括恶意代码,一旦我们网站可以执行攻击者需要的代码,攻击者可以读取需要的数据。
根据以上漏洞情况,Dubbo官方也提供解决方案,只需要将Dubbo升级到2.7.5版本即可。
很多网站在开始Dubbo时,很少有关注升级的问题,所以开始使用版本就很稳定使用。其中主要还是发现其中Dubbo有很多依赖包和中间件,贸然升级主要考虑兼容性问题,如果你网站使用客户比较多,可能会影响用户体验。
我们网站在使用第三方框架的时候,更应该要提高自己网站安全性,比如在注册信息要有更多的安全验证,关闭没有使用的通信协议,检测循环调用接口,向外提供接口数据严禁内嵌,透传等。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。