Struts2漏洞疯狂来袭 WEB安全危机四伏

　　关于Apache Struts2 框架：

　　Apache Struts2 框架是在Struts 和WebWork的技术基础上进行了合并后的全新框架。其全新的Struts 2的体系结构与Struts 1的体系结构的差别巨大。Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开，所以Struts 2可以理解为WebWork的更新产品。Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设，作为网站开发的底层模板使用，目前大量开发者利用J2ee 开发 Web 应用的时候都会利用这个框架。

　　Apache Struts2 框架最早于2010年7月14日被发现存在一个严重命令执行漏洞，但随之出现了防范技术，最近随着近期Struts2带回显功能的POC被公布，出现大量的利用工具，并导致大量使用此框架的网站沦陷，并呈扩散趋势。据第三方安全问题反馈平台"乌云"上白帽子的提交来看，国内已有上百个大型网站(主要包括政府、金融、运营商、企业等)存在被该漏洞利用的风险，被骇客恶意攻击的网站不计其数。目前安恒信息的安全产品均能检测和防护该漏洞，彻底阻断骇客的恶意攻击。

　　安恒信息的安全专家提醒目前正在使用Struts框架的网站的管理员，目前Aapche官方已经在Struts 2.2.0版本中修复了这个安全问题。由于struts 2.2.0仍然存在其他安全问题，建议用户请尽快升级到当前最新版本2.3.4。另外，在修补漏洞的同时千万不要忘记查看服务器或网站是否已经被入侵，是否存在后门文件等，尽量将损失和风险控制在可控范围内。

　　安恒信息目前也就针对这种情况升级了明御WEB应用防火墙(WAF)的策略提供防护，同时已经安排了24小时电话紧急值班(400-605-9110)，随时协助有需要的客户解决该漏洞。