隨著蘋果開發(fā)者網站的淪陷，已經曝光一周的Apache Struts2漏洞再次成為熱門話題，今天有消息稱由于該漏洞被利用，淘寶的數(shù)據(jù)庫已經被盜，盡管淘寶官方否認了這一說法，但是從烏云漏洞平臺的報告看，該漏洞已經波及到了包括京東、淘寶等在內的大型網站。

Struts 2應用范圍有多廣?此次漏洞有多嚴重?哪些網站受到了波及?可怕在哪里?

1、什么是Struts 2漏洞?

Struts 是Apache軟件基金會(ASF)贊助的一個開源項目，通過采用JavaServlet/JSP技術，實現(xiàn)基于Java EEWeb應用的MVC設計模式的應用框架，Struts 2是Struts的下一代產品，是在 struts 1和WebWork的技術基礎上進行了合并的全新的Struts 2框架。

Struts框架廣泛應用于政府、公安、交通、金融行業(yè)和運營商的網站建設，作為網站開發(fā)的底層模板使用。

此次爆發(fā)的漏洞是Struts 2的一個遠程執(zhí)行漏洞，利用這個漏洞，攻擊者可以上傳后門，黑掉一個網站或者盜取用戶數(shù)據(jù)庫。

2、為什么此次Struts 2漏洞影響巨大?

第一，Apache官方在漏洞公告中直接把漏洞利用代碼公開了，這是一個令人震驚的做法，因為在公布之前還有很多網站沒有及時打上補丁。公布后該漏洞瘋狂傳播，并出現(xiàn)了直接利用該漏洞進行入侵的傻瓜工具，一些未及時更新補丁的網站被入侵。

第二，Apache Struts 2是一個應用框架，它的漏洞并不像Windows一樣，及時發(fā)個補丁推送給用戶，更新了就沒事了，而是需要站長和網站維護人員自己去更新這個補丁，國內并不是每個網站的技術人員都會第一時間注意并更新這個漏洞。

第三，在漏洞被公布后黑客們?yōu)榱苏故?ldquo;戰(zhàn)果”，把大量存在漏洞的網站公布在第三方平臺上，很多之前沒有關注到該漏洞的黑客們開始關注并尋找漏洞。

3、哪些網站中招了?

烏云漏洞平臺最新確認的漏洞名單中，中國電信、中國聯(lián)通等運營商部分分站，中科院、工信部、交通部、中國郵政等部分站點，以及騰訊、淘寶、搜狐等大型互聯(lián)網公司的部分分站均在列，不過很多分站并不涉及數(shù)據(jù)庫。

中招的不止是國內網站，蘋果開發(fā)者網站“宕機”5天后，蘋果也終于承認是遭到入侵，業(yè)內猜測可能是由于Stuts2漏洞，隨后Ubuntu的開發(fā)者社區(qū)也被黑，182萬用戶數(shù)據(jù)被盜，盡管數(shù)據(jù)已經加密，仍然存在一定安全隱患。

此次受影響最嚴重的是京東，在烏云平臺上有十幾個漏洞被提交，涉及的站點包括奢侈品站360Top、彩票頁面、充值頁面、支付成功頁面等。

4、波及的網站包括一些銀行網站和淘寶等電商網站，對用戶而言是不是很危險?

此次波及的網站中有一部分銀行的分站，并不涉及數(shù)據(jù)庫，不過如果是存在登錄功能，則黑客可以通過掛馬的方式在用戶登錄過程中盜取銀行賬號和密碼，所以還是有一定危險性。

淘寶網今天發(fā)布聲明否認了漏洞被利用的說法。淘寶確實在一些非常邊緣的站點使用過Stuts 2框架，但是后來開發(fā)了自己的框架，主要業(yè)務并沒有受到影響。

5、是否已經有網站被拖庫?

拖庫是指將從數(shù)據(jù)庫導出數(shù)據(jù)，各大網站通常會將數(shù)據(jù)庫進行加密，黑客會將這些數(shù)據(jù)庫破解并獲得數(shù)據(jù)。

目前還沒有確切證據(jù)標明已經有大型網站的數(shù)據(jù)庫被拖庫，黑市上也沒有新的數(shù)據(jù)庫出現(xiàn)，因為漏洞公開時間不長，影響可能要到幾個月后才會顯現(xiàn)。

6、業(yè)內傳言

(1)、黑客很忙。很多黑客此前已經掌握了一些網站的漏洞，并獲取了權限，此次Struts漏洞泄露后，為了防止其他黑客通過該漏洞也獲得這些網站的權限，這些黑客會主動去修復“肉雞”的漏洞，一方面另一波黑客要爭取搶在漏洞被修復前完成入侵，于是雙方展開了攻防戰(zhàn)，在這期間很多網站發(fā)現(xiàn)其漏洞被“自動修復”。

(2)、Apache作惡。有黑客稱自己在5月份已經發(fā)現(xiàn)兩個遠程執(zhí)行漏洞，提交后Apache官方只是出了一個聲明確認了該漏洞，但是并未發(fā)布補丁。這已經不是Struts第一次出現(xiàn)漏洞，但是官方對于安全問題的處理簡單粗暴，甚至需要修補多次才能修好，此次更是“奇葩”到直接公布了漏洞的利用方法。

盡管目前官方發(fā)布了補丁，不過按照此前的經驗，該補丁是否可以徹底消除安全隱患還有待觀察。