随着苹果开发者网站的沦陷，已经曝光一周的Apache Struts2漏洞再次成为热门话题，今天有消息称由于该漏洞被利用，淘宝的数据库已经被盗，尽管淘宝官方否认了这一说法，但是从乌云漏洞平台的报告看，该漏洞已经波及到了包括京东、淘宝等在内的大型网站。

 

　　Struts2应用范围有多广?此次漏洞有多严重?哪些网站受到了波及?可怕在哪里?网易科技请教了多名安全界人士，对该漏洞进行详细解读。

 

　　1、什么是Struts 2漏洞?

 

　　Struts 是Apache软件基金会(ASF)赞助的一个开源项目，通过采用JavaServlet/JSP技术，实现基于Java EEWeb应用的MVC设计模式的应用框架，Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

 

　　Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设，作为网站开发的底层模板使用。

 

　　此次爆发的漏洞是Struts 2的一个远程执行漏洞，利用这个漏洞，攻击者可以上传后门，黑掉一个网站或者盗取用户数据库。

 

　　2、为什么此次Struts 2漏洞影响巨大?

 

　　第一，Apache官方在漏洞公告中直接把漏洞利用代码公开了，这是一个令人震惊的做法，因为在公布之前还有很多网站没有及时打上补丁。公布后该漏洞疯狂传播，并出现了直接利用该漏洞进行入侵的傻瓜工具，一些未及时更新补丁的网站被入侵。

 

　　第二，Apache Struts2是一个应用框架，它的漏洞并不像Windows一样，及时发个补丁推送给用户，更新了就没事了，而是需要站长和网站维护人员自己去更新这个补丁，国内并不是每个网站的技术人员都会第一时间注意并更新这个漏洞。

 

　　第三，在漏洞被公布后黑客们为了展示“战果”，把大量存在漏洞的网站公布在第三方平台上，很多之前没有关注到该漏洞的黑客们开始关注并寻找漏洞。

 

　　3、哪些网站中招了?