一朵奇葩：Struts官方公布自家漏洞利用代碼

　　昨晚，很多安全公司和互聯網公司安全部門的工程師們都沒睡好覺，通宵達旦地在加班。

　　Struts 這個漏洞這次來勢之所以這么兇猛，直接導致國內的很多銀行、政府機構、幾乎所有的大中型互聯網公司，國外的包括蘋果的開發者網站都被黑掉了，和 Struts 官方不負責任的態度有很大關系。Struts 這次在自己的漏洞公告中直接把漏洞利用代碼給貼出來了，這是一種很罕見的做法。

　　從很多年前起，安全行業里默認的行規是“提示漏洞存在，但只公布描述，不公布細節”。大多數安全公告連漏洞涉及的代碼都不公布，更遑論直接給出漏洞利用方法的。這樣做的原因就是為了防止漏洞細節被黑客看到后，直接利用漏洞攻擊用戶。

　　一般的安全廠商在看到漏洞公告后，可能會通過“補丁對比”，或者是二進制軟件的逆向分析等技術來定位漏洞的原理。這對分析人員的技術要求是非常高的，熟練掌握這種技術的人一般都有個外號，叫做“大牛”。這種技術門檻從一定程度上遏制了漏洞被大面積利用。

　　從歷史來看，一個漏洞對互聯網的影響大小，與該漏洞是否存在傻瓜化利用工具有關。漏洞的利用工具被傳播的越廣，對互聯網來說造成的影響就越大，因為會有很多腳本小子，拿著傻瓜化的工具肆無忌憚地四處搞破壞。

　　Struts 這個漏洞這次本來不會這么嚴重，過往有些比這更嚴重的漏洞也沒有造成這么惡劣的影響，但官方不負責任的披露了漏洞利用方法，首先就讓這個漏洞被大面積利用成為可能。然后國內的黑客們看到后，在某社區里引起了熱烈的討論。接下來有不少黑客，利用官方給出的“幫助”，很輕松就寫出了自動利用的工具，并開始找網站漏洞。

　　如果僅僅到這里，局面也不會失控，但是接下來有黑客們開始展開競賽一般的“戰果展示”，把存在漏洞的網站公布在第三方平臺上，這就好比“殺人比賽”一樣，就看誰干掉的網站多，看誰干掉的網站大。

　　他們戰果豐碩，干掉了包括百度、騰訊、淘寶等在內的很多大網站，甚至是國家級的政府網站，這進一步又在微博上引發了不少大號們對這個漏洞的討論。至此，局面徹底失控。

　　很多之前沒有關注這個漏洞的黑客們也開始關注這個漏洞，他們出于各自的目的，開始找尋存在漏洞的網站。可以不夸張地說，整個中國互聯網應該被狠狠地捋了一遍。如果你用了 Struts 但卻沒被黑客關注過，那只能很可悲的說明你的網站太小了，小到整個安全行業所有人打著燈籠都找不到你。

　　這就是互聯網的放大作用。

　　而對于始作俑者，Apache 基金會下的 Struts，我只能說 Struts 真是一朵奇葩。這并非 Struts 第一次出這種高危漏洞，但 Struts 對于安全問題的處理一直都很有問題，要么就是沒有搞明白漏洞的原理，同一個漏洞補兩三次都補不好，要么就是像這次這樣，直接公布了漏洞利用方法。

　　Struts 曾經鬧過修補一個漏洞時笑話百出的場景，完全沒有理解漏洞原理，僅僅針對漏洞報告者提供的特征字符做了過濾，結果接二連三地被繞過，一個簡單的漏洞，修補了兩三次都沒有修補好，所以 Struts 在安全問題上的低智商是有歷史的，屢教不改，還桀驁不馴。

　　這次中國互聯網被捋了一遍，造成的損失不可估量。如果很多大網站的數據庫因為這個漏洞被盜，在接下來的一兩年中，大家又會多接到很多騷擾電話和騷擾短信，有針對性的詐騙案件也會上升。