Struts2再次爆出安全漏洞，主要影響國內(nèi)電商、銀行、運營商等諸多大型網(wǎng)站和為數(shù)眾多的政府網(wǎng)站。國外安全研究人員日前發(fā)現(xiàn)，Apache Struts2在處理CVE-2014-0094的漏洞補丁中存在缺陷，會被輕易繞過，可導致任意命令執(zhí)行。黑客進而能夠竊取到網(wǎng)站數(shù)據(jù)，或者對網(wǎng)站進行DDoS攻擊。

圖：Struts2再次爆出安全漏洞

截至目前，Apache官方仍未發(fā)布該漏洞修復方案。360網(wǎng)站衛(wèi)士第一時間已經(jīng)添加防御規(guī)則，并提醒廣大網(wǎng)站緊急防護。同時，360安全中心發(fā)布應急修復方案。

應急修復方案

找到 struts2-core-2.3.16.1.jar中的struts-default.xml 文件，替換所有的

^class\..*為(.*\.|^)class\..*,(.*|^)class.*?classLoader.*

網(wǎng)站防御方案

開啟360網(wǎng)站衛(wèi)士即可防御該漏洞。沒有加入360網(wǎng)站衛(wèi)士的網(wǎng)站，登陸wangzhan.#點擊申請即可。此外，廣大網(wǎng)站也可以聯(lián)系360網(wǎng)站安全專家(QQ：800034239)，能夠獲得完全免費的技術支持服務。