“Struts2漏洞解读：官方惹祸 黑客攻防”

本篇文章1576字，读完约4分钟

文/顾晓波

随着苹果开发者网站的沦陷，曝光一周的apache struts2漏洞再次成为话题，今天有消息称，由于利用了这个漏洞，淘宝的数据库被盗，淘宝官方予以否定，但根据乌云漏洞平台的报告，

struts2的应用范围有多广？ 这次的脆弱性有多严重？ 那些网站被波及了吗？ 可怕的是哪里？ 本技术咨询了多个安全界人士，详细解读了这个漏洞。

1、什么是struts 2脆弱性？

struts是由apache软件基金会( asf )赞助的开源项目，通过使用Java servlet/JSP技术，实现了基于java eeweb应用的mvc设计模式的应用框架

struts框架广泛应用于政府、公安、交通、金融领域和运营商网站建设中，作为网站开发的基础模板被采用。

这次爆发的漏洞是struts 2的远程执行漏洞，利用这个漏洞，攻击者可以入侵后门、黑客网站、窃取客户数据库。

2、为什么这次的struts 2脆弱性的影响很大？

第一，apache公式在漏洞公告中直接公开了漏洞利用代码，这是一个令人惊讶的方法。 因为公布前很多网站没有及时补丁。 公布后，这个漏洞被疯狂传播，出现了直接利用这个漏洞进行入侵的傻逼工具，导致无法及时更新补丁的网站被入侵。

其次，apache struts2是应用程序框架，其漏洞就像windows一样，只要及时向客户发送补丁进行更新就没问题了。 相反，站长和网站维护人员需要自己更新这个补丁。 在国内，各网站的技术人员并不是首先观察并更新这个漏洞。

第三，漏洞公布后，黑客们为了展示“战果”，向第三方信息平台公开了漏洞很多的网站，之前没有注意到其漏洞的黑客们开始关注和寻找漏洞。

是那些网站本身募集的吗？

乌云平台新确认的漏洞名单包括中国电信、中国联通等运营商的部分分站、中科院、工信部、交通部、中国邮政等部分网站、腾讯、淘宝、搜狐等大型网络企业的部分分站

不仅是国内网站，苹果开发者网站“宕机”5天后，苹果终于也承认了入侵。 业界推测可能是由于stuts2的漏洞，之后ubuntu的开发者社区也很黑暗，182万客户数据被盗，数据虽然被加密，但还是有一定的安全隐患。

这次受影响最大的是京东，乌云平台提出了10多个漏洞，相关网站有奢侈品站360top、彩票页、充值页、支付成功页等。

4、波及的网站包括一点银行网站和淘宝等电子商务网站，对客户来说是不是很危险？

虽然这次被波及的网站本身有一部分银行的分站，没有接触数据库，但是如果有登录功能，黑客可以通过骑马在顾客登录的过程中盗取银行账户和密码，所以有危险性。

淘宝网今天发表声明否认漏洞被利用。 淘宝确实在非常有缘的网站上采用了stuts 2框架，但后来开发了自己的框架，主要业务没有受到影响。

5、网站已经被拖动了吗？

拖动库是指从数据库导出数据，各大网站通常对数据库进行加密，黑客破译这些数据库以获取数据。

目前没有确切的证据表明大型网站的数据库被拖动了，黑市上也没有新的数据库出现。 由于漏洞的公开时间不长，影响可能出现在几个月后。

6、业内传言

①、黑客很忙。 许多黑客此前掌握了网站漏洞并取得了权限，此次struts漏洞泄露后，为了防止其他黑客通过该漏洞获得这些网站的权限，这些黑客一方面积极修复“肉鸡”的漏洞，另一方面漏洞得到了修复

②、apache作恶。 据悉，黑客在5月发现了两个远程控制漏洞。 提交后，apache政府只通过一个声音确认了漏洞，但没有分发补丁。 这并不是struts首次出现漏洞，但政府解决安全问题很简单粗暴，需要多次修补才能修复。 这次，在直接发表漏洞的利用方法之前是“奇怪”的。

目前正在正式发布修补程序，但根据以往的经验，该修补程序是否能够完全消除安全隐患值得注意。

以上新闻引用自多个安全领域工作者口述，以及《道哥的黑板报》等公开账户。

来源：成都新闻网