隨著蘋果開發(fā)者網(wǎng)站的淪陷，已經(jīng)曝光一周的Apache Struts2漏洞再次成為熱門話題，今天有消息稱由于該漏洞被利用，淘寶的數(shù)據(jù)庫(kù)已經(jīng)被盜，盡管淘寶官方否認(rèn)了這一說(shuō)法，但是從烏云漏洞平臺(tái)的報(bào)告看，該漏洞已經(jīng)波及到了包括京東、淘寶等在內(nèi)的大型網(wǎng)站。

Struts 2應(yīng)用范圍有多廣?此次漏洞有多嚴(yán)重?哪些網(wǎng)站受到了波及?可怕在哪里?

1、什么是Struts 2漏洞?

Struts 是Apache軟件基金會(huì)(ASF)贊助的一個(gè)開源項(xiàng)目，通過(guò)采用JavaServlet/JSP技術(shù)，實(shí)現(xiàn)基于Java EEWeb應(yīng)用的MVC設(shè)計(jì)模式的應(yīng)用框架，Struts 2是Struts的下一代產(chǎn)品，是在 struts 1和WebWork的技術(shù)基礎(chǔ)上進(jìn)行了合并的全新的Struts 2框架。

Struts框架廣泛應(yīng)用于政府、公安、交通、金融行業(yè)和運(yùn)營(yíng)商的網(wǎng)站建設(shè)，作為網(wǎng)站開發(fā)的底層模板使用。

此次爆發(fā)的漏洞是Struts 2的一個(gè)遠(yuǎn)程執(zhí)行漏洞，利用這個(gè)漏洞，攻擊者可以上傳后門，黑掉一個(gè)網(wǎng)站或者盜取用戶數(shù)據(jù)庫(kù)。

2、為什么此次Struts 2漏洞影響巨大?

第一，Apache官方在漏洞公告中直接把漏洞利用代碼公開了，這是一個(gè)令人震驚的做法，因?yàn)樵诠贾斑€有很多網(wǎng)站沒(méi)有及時(shí)打上補(bǔ)丁。公布后該漏洞瘋狂傳播，并出現(xiàn)了直接利用該漏洞進(jìn)行入侵的傻瓜工具，一些未及時(shí)更新補(bǔ)丁的網(wǎng)站被入侵。

第二，Apache Struts 2是一個(gè)應(yīng)用框架，它的漏洞并不像Windows一樣，及時(shí)發(fā)個(gè)補(bǔ)丁推送給用戶，更新了就沒(méi)事了，而是需要站長(zhǎng)和網(wǎng)站維護(hù)人員自己去更新這個(gè)補(bǔ)丁，國(guó)內(nèi)并不是每個(gè)網(wǎng)站的技術(shù)人員都會(huì)第一時(shí)間注意并更新這個(gè)漏洞。

第三，在漏洞被公布后黑客們?yōu)榱苏故?ldquo;戰(zhàn)果”，把大量存在漏洞的網(wǎng)站公布在第三方平臺(tái)上，很多之前沒(méi)有關(guān)注到該漏洞的黑客們開始關(guān)注并尋找漏洞。

3、哪些網(wǎng)站中招了?

烏云漏洞平臺(tái)最新確認(rèn)的漏洞名單中，中國(guó)電信、中國(guó)聯(lián)通等運(yùn)營(yíng)商部分分站，中科院、工信部、交通部、中國(guó)郵政等部分站點(diǎn)，以及騰訊、淘寶、搜狐等大型互聯(lián)網(wǎng)公司的部分分站均在列，不過(guò)很多分站并不涉及數(shù)據(jù)庫(kù)。

中招的不止是國(guó)內(nèi)網(wǎng)站，蘋果開發(fā)者網(wǎng)站“宕機(jī)”5天后，蘋果也終于承認(rèn)是遭到入侵，業(yè)內(nèi)猜測(cè)可能是由于Stuts2漏洞，隨后Ubuntu的開發(fā)者社區(qū)也被黑，182萬(wàn)用戶數(shù)據(jù)被盜，盡管數(shù)據(jù)已經(jīng)加密，仍然存在一定安全隱患。

此次受影響最嚴(yán)重的是京東，在烏云平臺(tái)上有十幾個(gè)漏洞被提交，涉及的站點(diǎn)包括奢侈品站360Top、彩票頁(yè)面、充值頁(yè)面、支付成功頁(yè)面等。

4、波及的網(wǎng)站包括一些銀行網(wǎng)站和淘寶等電商網(wǎng)站，對(duì)用戶而言是不是很危險(xiǎn)?

此次波及的網(wǎng)站中有一部分銀行的分站，并不涉及數(shù)據(jù)庫(kù)，不過(guò)如果是存在登錄功能，則黑客可以通過(guò)掛馬的方式在用戶登錄過(guò)程中盜取銀行賬號(hào)和密碼，所以還是有一定危險(xiǎn)性。

淘寶網(wǎng)今天發(fā)布聲明否認(rèn)了漏洞被利用的說(shuō)法。淘寶確實(shí)在一些非常邊緣的站點(diǎn)使用過(guò)Stuts 2框架，但是后來(lái)開發(fā)了自己的框架，主要業(yè)務(wù)并沒(méi)有受到影響。

5、是否已經(jīng)有網(wǎng)站被拖庫(kù)?

拖庫(kù)是指將從數(shù)據(jù)庫(kù)導(dǎo)出數(shù)據(jù)，各大網(wǎng)站通常會(huì)將數(shù)據(jù)庫(kù)進(jìn)行加密，黑客會(huì)將這些數(shù)據(jù)庫(kù)破解并獲得數(shù)據(jù)。

目前還沒(méi)有確切證據(jù)標(biāo)明已經(jīng)有大型網(wǎng)站的數(shù)據(jù)庫(kù)被拖庫(kù)，黑市上也沒(méi)有新的數(shù)據(jù)庫(kù)出現(xiàn)，因?yàn)槁┒垂_時(shí)間不長(zhǎng)，影響可能要到幾個(gè)月后才會(huì)顯現(xiàn)。

6、業(yè)內(nèi)傳言

(1)、黑客很忙。很多黑客此前已經(jīng)掌握了一些網(wǎng)站的漏洞，并獲取了權(quán)限，此次Struts漏洞泄露后，為了防止其他黑客通過(guò)該漏洞也獲得這些網(wǎng)站的權(quán)限，這些黑客會(huì)主動(dòng)去修復(fù)“肉雞”的漏洞，一方面另一波黑客要爭(zhēng)取搶在漏洞被修復(fù)前完成入侵，于是雙方展開了攻防戰(zhàn)，在這期間很多網(wǎng)站發(fā)現(xiàn)其漏洞被“自動(dòng)修復(fù)”。

(2)、Apache作惡。有黑客稱自己在5月份已經(jīng)發(fā)現(xiàn)兩個(gè)遠(yuǎn)程執(zhí)行漏洞，提交后Apache官方只是出了一個(gè)聲明確認(rèn)了該漏洞，但是并未發(fā)布補(bǔ)丁。這已經(jīng)不是Struts第一次出現(xiàn)漏洞，但是官方對(duì)于安全問(wèn)題的處理簡(jiǎn)單粗暴，甚至需要修補(bǔ)多次才能修好，此次更是“奇葩”到直接公布了漏洞的利用方法。

盡管目前官方發(fā)布了補(bǔ)丁，不過(guò)按照此前的經(jīng)驗(yàn)，該補(bǔ)丁是否可以徹底消除安全隱患還有待觀察。