隨著蘋果開發(fā)者網(wǎng)站的淪陷，已經(jīng)曝光一周的 Apache Struts2 漏洞再次成為熱門話題，今天有消息稱由于該漏洞被利用，淘寶的數(shù)據(jù)庫已經(jīng)被盜，盡管淘寶官方否認了這一說法，但是從烏云漏洞平臺的報告看，該漏洞已經(jīng)波及到了包括京東、淘寶等在內的大型網(wǎng)站。

Struts 2 應用范圍有多廣？此次漏洞有多嚴重？哪些網(wǎng)站受到了波及？可怕在哪里？

1、什么是 Struts 2 漏洞？

Struts 是 Apache 軟件基金會（ASF）贊助的一個開源項目，通過采用 JavaServlet/JSP 技術，實現(xiàn)基于 Java EEWeb 應用的 MVC 設計模式的應用框架，Struts 2 是 Struts 的下一代產(chǎn)品，是在 struts 1 和 WebWork 的技術基礎上進行了合并的全新的 Struts 2 框架。

Struts 框架廣泛應用于政府、公安、交通、金融行業(yè)和運營商的網(wǎng)站建設，作為網(wǎng)站開發(fā)的底層模板使用。

此次爆發(fā)的漏洞是 Struts 2 的一個遠程執(zhí)行漏洞，利用這個漏洞，攻擊者可以上傳后門，黑掉一個網(wǎng)站或者盜取用戶數(shù)據(jù)庫。

2、為什么此次 Struts 2 漏洞影響巨大？

第一，Apache 官方在漏洞公告中直接把漏洞利用代碼公開了，這是一個令人震驚的做法，因為在公布之前還有很多網(wǎng)站沒有及時打上補丁。公布后該漏洞瘋狂傳播，并出現(xiàn)了直接利用該漏洞進行入侵的傻瓜工具，一些未及時更新補丁的網(wǎng)站被入侵。

第二，Apache Struts 2 是一個應用框架，它的漏洞并不像 Windows 一樣，及時發(fā)個補丁推送給用戶，更新了就沒事了，而是需要站長和網(wǎng)站維護人員自己去更新這個補丁，國內并不是每個網(wǎng)站的技術人員都會第一時間注意并更新這個漏洞。

第三，在漏洞被公布后黑客們?yōu)榱苏故?ldquo;戰(zhàn)果”，把大量存在漏洞的網(wǎng)站公布在第三方平臺上，很多之前沒有關注到該漏洞的黑客們開始關注并尋找漏洞。

3、哪些網(wǎng)站中招了？

烏云漏洞平臺最新確認的漏洞名單中，中國電信、中國聯(lián)通等運營商部分分站，中科院、工信部、交通部、中國郵政等部分站點，以及騰訊、淘寶、搜狐等大型互聯(lián)網(wǎng)公司的部分分站均在列，不過很多分站并不涉及數(shù)據(jù)庫。

中招的不止是國內網(wǎng)站，蘋果開發(fā)者網(wǎng)站“宕機”5 天后，蘋果也終于承認是遭到入侵，業(yè)內猜測可能是由于 Stuts2 漏洞，隨后 Ubuntu 的開發(fā)者社區(qū)也被黑，182 萬用戶數(shù)據(jù)被盜，盡管數(shù)據(jù)已經(jīng)加密，仍然存在一定安全隱患。

此次受影響最嚴重的是京東，在烏云平臺上有十幾個漏洞被提交，涉及的站點包括奢侈品站 360Top、彩票頁面、充值頁面、支付成功頁面等。

4、波及的網(wǎng)站包括一些銀行網(wǎng)站和淘寶等電商網(wǎng)站，對用戶而言是不是很危險？

此次波及的網(wǎng)站中有一部分銀行的分站，并不涉及數(shù)據(jù)庫，不過如果是存在登錄功能，則黑客可以通過掛馬的方式在用戶登錄過程中盜取銀行賬號和密碼，所以還是有一定危險性。

淘寶網(wǎng)今天發(fā)布聲明否認了漏洞被利用的說法。淘寶確實在一些非常邊緣的站點使用過 Stuts 2 框架，但是后來開發(fā)了自己的框架，主要業(yè)務并沒有受到影響。

5、是否已經(jīng)有網(wǎng)站被拖庫？

拖庫是指將從數(shù)據(jù)庫導出數(shù)據(jù)，各大網(wǎng)站通常會將數(shù)據(jù)庫進行加密，黑客會將這些數(shù)據(jù)庫破解并獲得數(shù)據(jù)。

目前還沒有確切證據(jù)標明已經(jīng)有大型網(wǎng)站的數(shù)據(jù)庫被拖庫，黑市上也沒有新的數(shù)據(jù)庫出現(xiàn)，因為漏洞公開時間不長，影響可能要到幾個月后才會顯現(xiàn)。

6、業(yè)內傳言

(1)、黑客很忙。很多黑客此前已經(jīng)掌握了一些網(wǎng)站的漏洞，并獲取了權限，此次 Struts 漏洞泄露后，為了防止其他黑客通過該漏洞也獲得這些網(wǎng)站的權限，這些黑客會主動去修復“肉雞”的漏洞，一方面另一波黑客要爭取搶在漏洞被修復前完成入侵，于是雙方展開了攻防戰(zhàn)，在這期間很多網(wǎng)站發(fā)現(xiàn)其漏洞被“自動修復”。

(2)、Apache 作惡。有黑客稱自己在 5 月份已經(jīng)發(fā)現(xiàn)兩個遠程執(zhí)行漏洞，提交后 Apache 官方只是出了一個聲明確認了該漏洞，但是并未發(fā)布補丁。這已經(jīng)不是 Struts 第一次出現(xiàn)漏洞，但是官方對于安全問題的處理簡單粗暴，甚至需要修補多次才能修好，此次更是“奇葩”到直接公布了漏洞的利用方法。

盡管目前官方發(fā)布了補丁，不過按照此前的經(jīng)驗，該補丁是否可以徹底消除安全隱患還有待觀察。

網(wǎng)易科技：http://tech.163.com/13/0723/01/94EAIUC8000915BF.html