Apache Struts

Продукт
Разработчики: Apache Software Foundation (ASF)
Технологии: Средства разработки приложений

Apache Struts — фреймворк с открытым исходным кодом для создания Java EE веб-приложений. Страница проекта — struts.apache.org.

Создание

Фреймворк создан Крейгом МакКланаханом и передан Apache Foundation в мае 2000 года. Сначала находился в составе Apache Jakarta Project и был известен как Jakarta Struts. С 2005 года является проектом Apache верхнего уровня.[1]

Возможности

Фреймворк базируется на Java Servlet API и расширяет его, в архитектурном плане реализует (или дает возможность реализовать) паттерн MVC (Model-View-Controller/«Модель-Представление-Контроллер»/«Модель-Вид-Контроллер» — схема разделения данных приложения, пользовательского интерфейса и управляющей логики на три отдельных компонента (модель, представление и контроллер), за счет чего модификация каждого компонента может осуществляться независимо).Обзор российского рынка банковской цифровизации: импортозамещение, искусственный интеллект и собственные экосистемы 6.7 т

Struts поддерживает интернационализацию, облегчает валидацию данных полученных из веб-формы и предоставляет механизм создания шаблонов под названием Tiles, который, кроме всего прочего, позволяет наследовать веб-страницы.

2017: Уязвимость обусловила утечку данных 143 млн кредитных историй

12 сентября 2017 года стало известно о взломе, в результате которого хакеры получили данные о 143 млн американцев. Об этом сообщило бюро кредитных историй Equifax.

В результате инцидента злоумышленники получили доступ к именам, номерам соцстрахования, датам рождения, адресам и, в отдельных случаях, номерам водительских удостоверений американцев. Украдены номера банковских карт 209 тыс. клиентов, юридические документы 182 тыс. клиентов[2].

В отчёте William Baird & Co. утверждается, что взлом совершён через уязвимость в фреймворке Apache Struts. Он применяется на портале оказания онлайн-услуг потребителям. Утечку обнаружили 29 июля 2017 года. Непосредственный взлом проведен в середине мая 2017 года. Для взлома хакеры могли воспользоваться критической уязвимостью CVE-2017-9805 или уязвимостью, выявленной в марте 2017 года (CVE-2017-5638). Обе проблемы позволяют выполнить на сервере сторонний код, при этом если веб-приложение выполняется в контейнере Apache Tomcat, запускаемом с правами root, в результате удалённой атаки может быть получен доступ с правами root.

По мнению аналитиков, причиной утечки могла послужить уязвимость, присутствовавшая в фреймворке в течение девяти лет. В случае Apache Struts проблему устранили сразу после появления сведений о её наличии (о наличии проблемы сообщили 17 июля 2017 года, обновление с исправлением вышло 5 сентября 2017 года, в тот же день исследователи, выявившие проблему, обнародовали данные об уязвимости).

Apache Software Foundation не желает брать на себя ответственность за инцидент, произошедший до того, как ему стало известно о наличии уязвимости в Apache Struts, учитывая, что взлом произошел в мае.

Эксперты назвали утечку данных в Equifax очень серьезной.

«
По шкале от 1 до 10 она соответствует 10 баллам. Она влияет на всю кредитную систему США, поскольку никто не может изменить информацию, все используют одни и те же данные.

Авива Литан, аналитик Gartner
»

Происшедшее — удар по репутации компании, специалистов которой нанимают для защиты пользовательских данных. Ситуация осложняется тем, что Equifax не предприняла никаких действий после проникновения на ее серверы в мае. Воровство информации клиентов совершалось до конца июля. Причины молчания компании о случившемся неизвестны.

Примечания



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Солар (ранее Ростелеком-Солар) (46)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15)
  Форсайт (11)
  Axiom JDK (БеллСофт) ранее Bellsoft (10)
  Бипиум (Bpium) (10)
  Другие (393)

  Солар (ранее Ростелеком-Солар) (8)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (4)
  ЛАНИТ - Би Пи Эм (Lanit BPM) (2)
  IFellow (АйФэлл) (2)
  Консом групп, Konsom Group (КонсОМ СКС) (2)
  Другие (30)

  Солар (ранее Ростелеком-Солар) (10)
  Форсайт (3)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  КРИТ (KRIT) (2)
  Cloud.ru (Облачные технологии) ранее SberCloud (2)
  Другие (13)

  Солар (ранее Ростелеком-Солар) (6)
  Unlimited Production (Анлимитед Продакшен, eXpress) (4)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (4)
  Форсайт (3)
  РЖД-Технологии (3)
  Другие (23)

  Unlimited Production (Анлимитед Продакшен, eXpress) (4)
  Солар (ранее Ростелеком-Солар) (3)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (2)
  Naumen (Наумен консалтинг) (1)
  Нота (Холдинг Т1) (1)
  Другие (11)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Солар (ранее Ростелеком-Солар) (2, 48)
  Microsoft (41, 47)
  Oracle (49, 26)
  Hyperledger (Open Ledger Project) (1, 23)
  IBM (33, 18)
  Другие (607, 308)

  Солар (ранее Ростелеком-Солар) (1, 8)
  Финансовые Информационные Системы (ФИС, FIS, Финсофт) (1, 4)
  Microsoft (4, 3)
  Oracle (2, 3)
  SAP SE (2, 2)
  Другие (16, 19)

  Солар (ранее Ростелеком-Солар) (1, 11)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1, 3)
  Форсайт (1, 3)
  Cloud.ru (Облачные технологии) ранее SberCloud (1, 2)
  Сбербанк (1, 2)
  Другие (9, 9)

  Солар (ранее Ростелеком-Солар) (1, 6)
  Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4)
  Мобильные ТелеСистемы (МТС) (1, 4)
  SL Soft (СЛ Софт) (1, 3)
  Другие (14, 24)

  Unlimited Production (Анлимитед Продакшен, eXpress) (1, 4)
  Мобильные ТелеСистемы (МТС) (2, 3)
  Солар (ранее Ростелеком-Солар) (1, 3)
  МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2)
  Т1 (1, 1)
  Другие (14, 14)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Solar appScreener (ранее Solar inCode) - 48
  Hyperledger Fabric - 23
  Windows Azure - 20
  FIS Platform - 15
  Форсайт. Мобильная платформа (ранее HyperHive) - 12
  Другие 328

  Solar appScreener (ранее Solar inCode) - 8
  FIS Platform - 4
  Java - 2
  Турбо X - 2
  Парадокс: MES Builder - 2
  Другие 22

  Solar appScreener (ранее Solar inCode) - 11
  Форсайт. Мобильная платформа (ранее HyperHive) - 3
  BSS Digital2Go - 3
  Cloud ML Space - 2
  Axiom JDK (ранее Liberica JDK до 2022) - 1
  Другие 8

  EXpress Защищенный корпоративный мессенджер - 6
  Solar appScreener (ранее Solar inCode) - 6
  МТС Exolve - 4
  Форсайт. Мобильная платформа (ранее HyperHive) - 3
  РЖД и Робин: Облачная фабрика программных роботов - 3
  Другие 14

  EXpress Защищенный корпоративный мессенджер - 4
  Solar appScreener (ранее Solar inCode) - 3
  МТС Exolve - 2
  Т1: Сфера Платформа производства ПО - 1
  BSS Digital2Go - 1
  Другие 11