7月17日，著名Java Web框架Struts2被曝存在遠程任意代碼的高危漏洞，該漏洞可以影響Struts2.0-Struts2.3所有版本;攻擊者可以利用該漏洞，快速取得服務器權限，進而對服務器進行數(shù)據(jù)庫竊取、網(wǎng)站內(nèi)容文件刪除修改、服務器開關機等敏感操作。該漏洞被公布后，包括人人網(wǎng)、百度、中國電信、騰訊等眾多大型互聯(lián)網(wǎng)公司受到影響，7月17日晚上注定成為了運維人員的不眠之夜。

漏洞公眾后，做為國內(nèi)最大的免費云安全服務提供商加速樂在2小時后即發(fā)布安全防御方案，所有受到影響的網(wǎng)站只需要免費使用加速樂服務，即可快速消除漏洞影響。

Struts2漏洞瘋狂來襲

烏云平臺是國內(nèi)知名的漏洞報告平臺，從烏云上的數(shù)據(jù)來看，7月14日已經(jīng)有人提交Struts2漏洞的報告;不過，直到7月17日，Struts2漏洞才被網(wǎng)友瘋狂關注，一天以后，國內(nèi)數(shù)十個知名網(wǎng)站已經(jīng)被發(fā)現(xiàn)受該漏洞影響，包括電信、移動、百度、騰訊、京東商城等網(wǎng)站的分站。

不出意外，上面每個網(wǎng)站上都可能存儲著數(shù)以十萬計的用戶數(shù)據(jù);若用戶數(shù)據(jù)被別有用心的人盜取，進一步發(fā)送垃圾信息或欺詐信息，可能會有數(shù)百萬網(wǎng)友間接受此影響。

至于隱藏在暗處的黑客攻擊，影響的范圍可能會更加廣泛。目前，網(wǎng)絡上已經(jīng)存在針對該漏洞的攻擊軟件，只要在軟件上填寫存在Struts2漏洞的網(wǎng)址，那么工具可以自動完成漏洞利用，好比按要求讀取用戶數(shù)據(jù)或者篡改指定的網(wǎng)頁。

如何確認Struts2漏洞

對于多數(shù)站長來說，Stuts2可能是一個完全陌生的詞匯，幾乎不知道什么是Struts2，更不知道要怎么檢測自己的網(wǎng)站是否受Struts2漏洞影響。

為了解決站長的后顧之憂，國內(nèi)知名的網(wǎng)站安全中心SCANV已提供針對Struts2漏洞的網(wǎng)站安全檢測工具，站長只要去Struts2漏洞檢測工具頁面(http://www.scanv.com/tools/)，輸入自己的網(wǎng)站，點擊確定，隨后可以輕松檢測出自己的網(wǎng)站是否受該漏洞影響。

加速樂助網(wǎng)站渡難關

加速樂是知道創(chuàng)宇推出的一款在線免費網(wǎng)站云加速、云安全平臺，在Struts2漏洞爆發(fā)首日針對性推出安全攔截規(guī)則，順利化解該漏洞可能造成的重大安全問題;針對站長和普通網(wǎng)友，加速樂安全專家分別給出了針對性的建議，盡量減少該漏洞造成的其它損失。

對于站長而言，應盡快自查網(wǎng)站漏洞，可以注冊加速樂(www.jiasule.com)，快速添加網(wǎng)站、修改域名解析，五分鐘以內(nèi)開啟網(wǎng)站云防御功能，成功防御該漏洞。

此外，Struts2官方已經(jīng)發(fā)布補丁，請站長盡快將Struts2升級到2.3.15.1版本，避免遭遇針對該漏洞的攻擊。(http：//struts.apache.org/download.cgi#struts23151)。

對于網(wǎng)友而言，建議針對不同網(wǎng)站設置不同的賬號密碼，避免在不同網(wǎng)站使用類似的賬號密碼，以免某個網(wǎng)站的數(shù)據(jù)庫泄露，導致你在其它網(wǎng)站的賬號被盜，造成經(jīng)濟損失。

關于Struts

Struts通過采用JavaServlet/JSP技術，實現(xiàn)了基于JavaEEWeb應用的Model-View-Controller(MVC)設計模式的應用框架，是MVC經(jīng)典設計模式中的一個經(jīng)典產(chǎn)品。目前，Struts廣泛應用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機構等網(wǎng)站的建設。