随着苹果开发者网站的沦陷，已经曝光一周的Apache Struts2漏洞再次成为热门话题，今天有消息称由于该漏洞被利用，淘宝的数据库已经被盗，尽管淘宝官方否认了这一说法，但是从乌云漏洞平台的报告看，该漏洞已经波及到了包括京东、淘宝等在内的大型网站。

　　Struts 2应用范围有多广？此次漏洞有多严重？哪些网站受到了波及？可怕在哪里？网易科技请教了多名安全界人士，对该漏洞进行详细解读。

　　1、什么是Struts 2漏洞？

　　Struts 是Apache软件基金会（ASF）赞助的一个开源项目，通过采用JavaServlet/JSP技术，实现基于Java EEWeb应用的MVC设计模式的应用框架，Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。

　　Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设，作为网站开发的底层模板使用。

　　此次爆发的漏洞是Struts 2的一个远程执行漏洞，利用这个漏洞，攻击者可以上传后门，黑掉一个网站或者盗取用户数据库。

　　2、为什么此次Struts 2漏洞影响巨大？

　　第一，Apache官方在漏洞公告中直接把漏洞利用代码公开了，这是一个令人震惊的做法，因为在公布之前还有很多网站没有及时打上补丁。公布后该漏洞疯狂传播，并出现了直接利用该漏洞进行入侵的傻瓜工具，一些未及时更新补丁的网站被入侵。

　　第二，Apache Struts 2是一个应用框架，它的漏洞并不像Windows一样，及时发个补丁推送给用户，更新了就没事了，而是需要站长和网站维护人员自己去更新这个补丁，国内并不是每个网站的技术人员都会第一时间注意并更新这个漏洞。

　　第三，在漏洞被公布后黑客们为了展示“战果”，把大量存在漏洞的网站公布在第三方平台上，很多之前没有关注到该漏洞的黑客们开始关注并寻找漏洞。

　　3、哪些网站中招了？

　　乌云漏洞平台最新确认的漏洞名单中，中国电信、中国联通等运营商部分分站，中科院、工信部、交通部、中国邮政等部分站点，以及腾讯、淘宝、搜狐等大型互联网公司的部分分站均在列，不过很多分站并不涉及数据库。

　　中招的不止是国内网站，苹果开发者网站“宕机”5天后，苹果也终于承认是遭到入侵，业内猜测可能是由于Stuts2漏洞，随后Ubuntu的开发者社区也被黑，182万用户数据被盗，尽管数据已经加密，仍然存在一定安全隐患。

　　此次受影响最严重的是京东，在乌云平台上有十几个漏洞被提交，涉及的站点包括奢侈品站360Top、彩票页面、充值页面、支付成功页面等。

　　4、波及的网站包括一些银行网站和淘宝等电商网站，对用户而言是不是很危险？

　　此次波及的网站中有一部分银行的分站，并不涉及数据库，不过如果是存在登录功能，则黑客可以通过挂马的方式在用户登录过程中盗取银行账号和密码，所以还是有一定危险性。

　　淘宝网今天发布声明否认了漏洞被利用的说法。淘宝确实在一些非常边缘的站点使用过Stuts 2框架，但是后来开发了自己的框架，主要业务并没有受到影响。

　　5、是否已经有网站被拖库？

　　拖库是指将从数据库导出数据，各大网站通常会将数据库进行加密，黑客会将这些数据库破解并获得数据。

　　目前还没有确切证据标明已经有大型网站的数据库被拖库，黑市上也没有新的数据库出现，因为漏洞公开时间不长，影响可能要到几个月后才会显现。

　　6、业内传言

　　(1)、黑客很忙。很多黑客此前已经掌握了一些网站的漏洞，并获取了权限，此次Struts漏洞泄露后，为了防止其他黑客通过该漏洞也获得这些网站的权限，这些黑客会主动去修复“肉鸡”的漏洞，一方面另一波黑客要争取抢在漏洞被修复前完成入侵，于是双方展开了攻防战，在这期间很多网站发现其漏洞被“自动修复”。

　　(2)、Apache作恶。有黑客称自己在5月份已经发现两个远程执行漏洞，提交后Apache官方只是出了一个生命确认了该漏洞，但是并未发布补丁。这已经不是Struts第一次出现漏洞，但是官方对于安全问题的处理简单粗暴，甚至需要修补多次才能修好，此次更是“奇葩”到直接公布了漏洞的利用方法。

　　尽管目前官方发布了补丁，不过按照此前的经验，该补丁是否可以彻底消除安全隐患还有待观察。