Struts是Apache軟件基金會(huì)贊助的一個(gè)Java開源項(xiàng)目。通過采用JavaServlet/JSP技術(shù)，實(shí)現(xiàn)了基于Java EE Web應(yīng)用的MVC設(shè)計(jì)模式的應(yīng)用框架，是MVC經(jīng)典設(shè)計(jì)模式中的一個(gè)經(jīng)典產(chǎn)品，也是國(guó)際上應(yīng)用最廣泛的Web應(yīng)用框架之一。網(wǎng)上銀行、政府網(wǎng)站、主要門戶網(wǎng)站都大量使用Struts。

近日，Apache Struts2發(fā)布漏洞公告，聲稱Struts2應(yīng)用框架出現(xiàn)一個(gè)高危漏洞。同時(shí)發(fā)布的，還有漏洞補(bǔ)丁包(最新版本為：2.3.15.1)和黑客攻擊嘗試驗(yàn)證代碼。

經(jīng)國(guó)內(nèi)網(wǎng)站安全服務(wù)商SCANV.COM確認(rèn)，該漏洞可以影響到Struts 2.0.0 - Struts 2.3.15的所有版本。攻擊者可以利用該漏洞，執(zhí)行惡意Java代碼，最終導(dǎo)致網(wǎng)站被完全入侵控制，從而數(shù)據(jù)被竊取、網(wǎng)頁(yè)被篡改等嚴(yán)重后果。

從2013年7月17日開始到7月18日，國(guó)內(nèi)漏洞平臺(tái)Wooyun上確認(rèn)被此漏洞攻陷的網(wǎng)站數(shù)量急劇上升，連續(xù)兩天高燒不退，國(guó)內(nèi)互聯(lián)網(wǎng)一片腥風(fēng)血雨。與此同時(shí)，漏洞的利用代碼已在不斷被強(qiáng)化，可直接通過瀏覽器的提交對(duì)服務(wù)器進(jìn)行任意操作并獲取敏感內(nèi)容。

包括蘋果、中國(guó)移動(dòng)、中國(guó)聯(lián)通、百度、騰訊、淘寶、京東、Sohu、民生銀行等大型企業(yè)的網(wǎng)站均遭毒手，運(yùn)維工程師苦不堪言。

國(guó)內(nèi)知名黑客，知道創(chuàng)宇安全研究員Superhei表示：“很多人質(zhì)疑我們?yōu)槭裁磳?duì)外面公布的漏洞響應(yīng)不提來源及細(xì)節(jié)，這次的Struts就是一個(gè)很好的例子。不同的是官方自己發(fā)布了攻擊代碼程序。根本就沒給用戶去部署補(bǔ)丁及各種兼容性的測(cè)試的時(shí)間。作為一個(gè)國(guó)際知名的開源團(tuán)隊(duì)，Apache Struts太不合格了!漏洞響應(yīng)就是一個(gè)時(shí)間的博弈!”

目前國(guó)內(nèi)網(wǎng)站安全服務(wù)商SCANV已在其官方站長(zhǎng)工具欄(http://www.scanv.com/tools/)提供了該漏洞的檢測(cè)服務(wù)，使用Struts框架的網(wǎng)站運(yùn)維人員可以驗(yàn)證一下自己的網(wǎng)站是否存在該漏洞。

與此同時(shí)，國(guó)內(nèi)云防御和加速平臺(tái)“加速樂”也已經(jīng)在其服務(wù)端中加入了該漏洞的防護(hù)策略，聯(lián)合國(guó)靜態(tài)交通委員會(huì)、國(guó)務(wù)院中央政府采購(gòu)網(wǎng)等6.7萬家網(wǎng)站已經(jīng)使用此平臺(tái)做安全防御，抵擋黑客攻擊。