Struts是Apache軟件基金會贊助的一個Java開源項目。通過采用JavaServlet/JSP技術(shù)，實現(xiàn)了基于Java EE Web應(yīng)用的MVC設(shè)計模式的應(yīng)用框架，是MVC經(jīng)典設(shè)計模式中的一個經(jīng)典產(chǎn)品，也是國際上應(yīng)用最廣泛的Web應(yīng)用框架之一。網(wǎng)上銀行、政府網(wǎng)站、主要門戶網(wǎng)站都大量使用Struts。

近日，Apache Struts2發(fā)布漏洞公告，聲稱Struts2應(yīng)用框架出現(xiàn)一個高危漏洞。同時發(fā)布的，還有漏洞補(bǔ)丁包(最新版本為：2.3.15.1)和黑客攻擊嘗試驗證代碼。

經(jīng)國內(nèi)網(wǎng)站安全服務(wù)商SCANV.COM確認(rèn)，該漏洞可以影響到Struts 2.0.0 - Struts 2.3.15的所有版本。攻擊者可以利用該漏洞，執(zhí)行惡意Java代碼，最終導(dǎo)致網(wǎng)站被完全入侵控制，從而數(shù)據(jù)被竊取、網(wǎng)頁被篡改等嚴(yán)重后果。

從2013年7月17日開始到7月18日，國內(nèi)漏洞平臺Wooyun上確認(rèn)被此漏洞攻陷的網(wǎng)站數(shù)量急劇上升，連續(xù)兩天高燒不退，國內(nèi)互聯(lián)網(wǎng)一片腥風(fēng)血雨。與此同時，漏洞的利用代碼已在不斷被強(qiáng)化，可直接通過瀏覽器的提交對服務(wù)器進(jìn)行任意操作并獲取敏感內(nèi)容。

包括蘋果、中國移動、中國聯(lián)通、百度、騰訊、淘寶、京東、Sohu、民生銀行等大型企業(yè)的網(wǎng)站均遭毒手，運維工程師苦不堪言。

國內(nèi)知名黑客，知道創(chuàng)宇安全研究員Superhei表示：“很多人質(zhì)疑我們?yōu)槭裁磳ν饷婀嫉穆┒错憫?yīng)不提來源及細(xì)節(jié)，這次的Struts就是一個很好的例子。不同的是官方自己發(fā)布了攻擊代碼程序。根本就沒給用戶去部署補(bǔ)丁及各種兼容性的測試的時間。作為一個國際知名的開源團(tuán)隊，Apache Struts太不合格了!漏洞響應(yīng)就是一個時間的博弈!”

目前國內(nèi)網(wǎng)站安全服務(wù)商SCANV已在其官方站長工具欄(http://www.scanv.com/tools/)提供了該漏洞的檢測服務(wù)，使用Struts框架的網(wǎng)站運維人員可以驗證一下自己的網(wǎng)站是否存在該漏洞。

與此同時，國內(nèi)云防御和加速平臺“加速樂”也已經(jīng)在其服務(wù)端中加入了該漏洞的防護(hù)策略，聯(lián)合國靜態(tài)交通委員會、國務(wù)院中央政府采購網(wǎng)等6.7萬家網(wǎng)站已經(jīng)使用此平臺做安全防御，抵擋黑客攻擊。