Struts2漏洞解讀：官方惹禍 黑客攻防

　　隨著蘋果開發者網站的淪陷，已經曝光一周的 Apache Struts2 漏洞再次成為熱門話題，今天有消息稱由于該漏洞被利用，淘寶的數據庫已經被盜，盡管淘寶官方否認了這一說法，但是從烏云漏洞平臺的報告看，該漏洞已經波及到了包括京東、淘寶等在內的大型網站。

　　Struts 2 應用范圍有多廣？此次漏洞有多嚴重？哪些網站受到了波及？可怕在哪里？

　　1、什么是 Struts 2 漏洞？

　　Struts 是 Apache 軟件基金會（ASF）贊助的一個開源項目，通過采用 JavaServlet/JSP 技術，實現基于 Java EEWeb 應用的 MVC 設計模式的應用框架，Struts 2 是 Struts 的下一代產品，是在 struts 1 和 WebWork 的技術基礎上進行了合并的全新的 Struts 2 框架。

　　Struts 框架廣泛應用于政府、公安、交通、金融行業和運營商的網站建設，作為網站開發的底層模板使用。

　　此次爆發的漏洞是 Struts 2 的一個遠程執行漏洞，利用這個漏洞，攻擊者可以上傳后門，黑掉一個網站或者盜取用戶數據庫。

　　2、為什么此次 Struts 2 漏洞影響巨大？

　　第一，Apache 官方在漏洞公告中直接把漏洞利用代碼公開了，這是一個令人震驚的做法，因為在公布之前還有很多網站沒有及時打上補丁。公布后該漏洞瘋狂傳播，并出現了直接利用該漏洞進行入侵的傻瓜工具，一些未及時更新補丁的網站被入侵。

　　第二，Apache Struts 2 是一個應用框架，它的漏洞并不像 Windows 一樣，及時發個補丁推送給用戶，更新了就沒事了，而是需要站長和網站維護人員自己去更新這個補丁，國內并不是每個網站的技術人員都會第一時間注意并更新這個漏洞。

　　第三，在漏洞被公布后黑客們為了展示“戰果”，把大量存在漏洞的網站公布在第三方平臺上，很多之前沒有關注到該漏洞的黑客們開始關注并尋找漏洞。

　　3、哪些網站中招了？

　　烏云漏洞平臺最新確認的漏洞名單中，中國電信、中國聯通等運營商部分分站，中科院、工信部、交通部、中國郵政等部分站點，以及騰訊、淘寶、搜狐等大型互聯網公司的部分分站均在列，不過很多分站并不涉及數據庫。

　　中招的不止是國內網站，蘋果開發者網站“宕機”5 天后，蘋果也終于承認是遭到入侵，業內猜測可能是由于 Stuts2 漏洞，隨后 Ubuntu 的開發者社區也被黑，182 萬用戶數據被盜，盡管數據已經加密，仍然存在一定安全隱患。

　　此次受影響最嚴重的是京東，在烏云平臺上有十幾個漏洞被提交，涉及的站點包括奢侈品站 360Top、彩票頁面、充值頁面、支付成功頁面等。

　　4、波及的網站包括一些銀行網站和淘寶等電商網站，對用戶而言是不是很危險？

　　此次波及的網站中有一部分銀行的分站，并不涉及數據庫，不過如果是存在登錄功能，則黑客可以通過掛馬的方式在用戶登錄過程中盜取銀行賬號和密碼，所以還是有一定危險性。

　　淘寶網今天發布聲明否認了漏洞被利用的說法。淘寶確實在一些非常邊緣的站點使用過 Stuts 2 框架，但是后來開發了自己的框架，主要業務并沒有受到影響。

　　5、是否已經有網站被拖庫？

　　拖庫是指將從數據庫導出數據，各大網站通常會將數據庫進行加密，黑客會將這些數據庫破解并獲得數據。

　　目前還沒有確切證據標明已經有大型網站的數據庫被拖庫，黑市上也沒有新的數據庫出現，因為漏洞公開時間不長，影響可能要到幾個月后才會顯現。

　　6、業內傳言

　　(1)、黑客很忙。很多黑客此前已經掌握了一些網站的漏洞，并獲取了權限，此次 Struts 漏洞泄露后，為了防止其他黑客通過該漏洞也獲得這些網站的權限，這些黑客會主動去修復“肉雞”的漏洞，一方面另一波黑客要爭取搶在漏洞被修復前完成入侵，于是雙方展開了攻防戰，在這期間很多網站發現其漏洞被“自動修復”。

　　(2)、Apache 作惡。有黑客稱自己在 5 月份已經發現兩個遠程執行漏洞，提交后 Apache 官方只是出了一個聲明確認了該漏洞，但是并未發布補丁。這已經不是 Struts 第一次出現漏洞，但是官方對于安全問題的處理簡單粗暴，甚至需要修補多次才能修好，此次更是“奇葩”到直接公布了漏洞的利用方法。

　　盡管目前官方發布了補丁，不過按照此前的經驗，該補丁是否可以徹底消除安全隱患還有待觀察。