【每周游戏行业DDoS态势】

 

 

【游戏安全动态】

游戏账号窃取日益猖獗，游戏运维人员如何做好防范？

 

概要：盗取游戏账号主要目的是获取个人信息在暗网售卖，并且用账号、虚拟货币、虚拟装备来盈利，这也意味着，游戏行业越发达，安全风险也就越高，因为攻击者的盈利空间越大。

作为游戏公司，可定期引导玩家去检查自己的账户密码是否受到数据泄露的影响；如果遇到游戏账号丢失或大面积被窃取，游戏公司需要尽快做好沟通；安全运维人员要随时关注登录游戏的活跃IP，如果遇到IP增加的情况，则需要及时提防响应；同时需要为安全准备相应的资源，安全产品能灵活扩展很重要；最后，通过序列号，个人信息验证机制，来确保玩家身份的真实性。

【相关安全事件】

Struts2 REST插件远程执行命令漏洞全面分析。

概要：2017年9月5日，Apache Struts 2官方发布一个严重级别的安全漏洞公告，该漏洞由国外安全研究组织lgtm.com的安全研究人员发现，漏洞编号为CVE-2017-9805（S2-052）。

 

点评：当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤，可以导致远程执行代码，攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。

建议运维人员或开发人员尽快关注并资产，可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在，建议您尽快按照以下方式修复漏洞。

目前官方已经发布补丁，建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则，用户可以通过WAF，对利用该漏洞的攻击行为进行检测和防御，最大程度减少安全风险。

2017世界物联网博览会：IoT安全观点。

概要：9月10日，2017世界物联网博览会在江苏无锡拉开帷幕，阿里巴巴集团携阿里云IoT及蚂蚁金服参会在9月11日的安全智能高峰论坛上，三位阿里巴巴的IoT安全研究者：阿里云首席安全科学家吴翰清，阿里巴巴资深IoT安全专家谢君，和阿里巴巴集团安全部安全研究专家王康，从趋势和技术两个角度，分享物联网给我们带来的价值，以及如何才能构筑安全、可信、在线的物联网。

 

吴翰清提出，物联网的未来价值在于连接与在线；端、连接和云；IoT作为基础设施的三大支柱；与变革同时而来的是风险。庞大的数据量，实时的交换，如何对这些在线的数据做管控，是物联网安全的关键。

查看其它行业资讯

往期回顾

期待听到您的反馈

 金融、政府、游戏安全资讯精选会通过云栖社区专栏，

阿里云安全微信和微博，每周与您见面。

如果您是阿里云用户，

也欢迎通过邮件、钉钉公众号查看本周行业资讯。