7月17日，著名Java Web框架Struts2被曝存在遠(yuǎn)程任意代碼的高危漏洞，該漏洞可以影響Struts2.0-Struts2.3所有版本;攻擊者可以利用該漏洞，快速取得服務(wù)器權(quán)限，進(jìn)而對(duì)服務(wù)器進(jìn)行數(shù)據(jù)庫(kù)竊取、網(wǎng)站內(nèi)容文件刪除修改、服務(wù)器開(kāi)關(guān)機(jī)等敏感操作。該漏洞被公布后，包括人人網(wǎng)、百度、中國(guó)電信、騰訊等眾多大型互聯(lián)網(wǎng)公司受到影響，7月17日晚上注定成為了運(yùn)維人員的不眠之夜。

漏洞公眾后，做為國(guó)內(nèi)最大的免費(fèi)云安全服務(wù)提供商加速樂(lè)在2小時(shí)后即發(fā)布安全防御方案，所有受到影響的網(wǎng)站只需要免費(fèi)使用加速樂(lè)服務(wù)，即可快速消除漏洞影響。

Struts2漏洞瘋狂來(lái)襲

烏云平臺(tái)是國(guó)內(nèi)知名的漏洞報(bào)告平臺(tái)，從烏云上的數(shù)據(jù)來(lái)看，7月14日已經(jīng)有人提交Struts2漏洞的報(bào)告;不過(guò)，直到7月17日，Struts2漏洞才被網(wǎng)友瘋狂關(guān)注，一天以后，國(guó)內(nèi)數(shù)十個(gè)知名網(wǎng)站已經(jīng)被發(fā)現(xiàn)受該漏洞影響，包括電信、移動(dòng)、百度、騰訊、京東商城等網(wǎng)站的分站。

不出意外，上面每個(gè)網(wǎng)站上都可能存儲(chǔ)著數(shù)以十萬(wàn)計(jì)的用戶(hù)數(shù)據(jù);若用戶(hù)數(shù)據(jù)被別有用心的人盜取，進(jìn)一步發(fā)送垃圾信息或欺詐信息，可能會(huì)有數(shù)百萬(wàn)網(wǎng)友間接受此影響。

至于隱藏在暗處的黑客攻擊，影響的范圍可能會(huì)更加廣泛。目前，網(wǎng)絡(luò)上已經(jīng)存在針對(duì)該漏洞的攻擊軟件，只要在軟件上填寫(xiě)存在Struts2漏洞的網(wǎng)址，那么工具可以自動(dòng)完成漏洞利用，好比按要求讀取用戶(hù)數(shù)據(jù)或者篡改指定的網(wǎng)頁(yè)。

如何確認(rèn)Struts2漏洞

對(duì)于多數(shù)站長(zhǎng)來(lái)說(shuō)，Stuts2可能是一個(gè)完全陌生的詞匯，幾乎不知道什么是Struts2，更不知道要怎么檢測(cè)自己的網(wǎng)站是否受Struts2漏洞影響。

為了解決站長(zhǎng)的后顧之憂，國(guó)內(nèi)知名的網(wǎng)站安全中心SCANV已提供針對(duì)Struts2漏洞的網(wǎng)站安全檢測(cè)工具，站長(zhǎng)只要去Struts2漏洞檢測(cè)工具頁(yè)面(http://www.scanv.com/tools/)，輸入自己的網(wǎng)站，點(diǎn)擊確定，隨后可以輕松檢測(cè)出自己的網(wǎng)站是否受該漏洞影響。

加速樂(lè)助網(wǎng)站渡難關(guān)

加速樂(lè)是知道創(chuàng)宇推出的一款在線免費(fèi)網(wǎng)站云加速、云安全平臺(tái)，在Struts2漏洞爆發(fā)首日針對(duì)性推出安全攔截規(guī)則，順利化解該漏洞可能造成的重大安全問(wèn)題;針對(duì)站長(zhǎng)和普通網(wǎng)友，加速樂(lè)安全專(zhuān)家分別給出了針對(duì)性的建議，盡量減少該漏洞造成的其它損失。

對(duì)于站長(zhǎng)而言，應(yīng)盡快自查網(wǎng)站漏洞，可以注冊(cè)加速樂(lè)(www.jiasule.com)，快速添加網(wǎng)站、修改域名解析，五分鐘以?xún)?nèi)開(kāi)啟網(wǎng)站云防御功能，成功防御該漏洞。

此外，Struts2官方已經(jīng)發(fā)布補(bǔ)丁，請(qǐng)站長(zhǎng)盡快將Struts2升級(jí)到2.3.15.1版本，避免遭遇針對(duì)該漏洞的攻擊。(http：//struts.apache.org/download.cgi#struts23151)。

對(duì)于網(wǎng)友而言，建議針對(duì)不同網(wǎng)站設(shè)置不同的賬號(hào)密碼，避免在不同網(wǎng)站使用類(lèi)似的賬號(hào)密碼，以免某個(gè)網(wǎng)站的數(shù)據(jù)庫(kù)泄露，導(dǎo)致你在其它網(wǎng)站的賬號(hào)被盜，造成經(jīng)濟(jì)損失。

關(guān)于Struts

Struts通過(guò)采用JavaServlet/JSP技術(shù)，實(shí)現(xiàn)了基于JavaEEWeb應(yīng)用的Model-View-Controller(MVC)設(shè)計(jì)模式的應(yīng)用框架，是MVC經(jīng)典設(shè)計(jì)模式中的一個(gè)經(jīng)典產(chǎn)品。目前，Struts廣泛應(yīng)用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機(jī)構(gòu)等網(wǎng)站的建設(shè)。