Struts2曝高危漏洞 安全狗提醒做好安全防护

 【Struts漏洞预警】7月17日爆发的Struts漏洞预计今日将继续发酵，攻击者可以利用该漏洞，执行恶意 Java 代码，最终导致网站数据被窃取、网页被篡改等严重后果。许多大型网站、电商网站、政府类网站、电信运营商公司网站都采用Struts框架进行开发,中大型网站、政府、电信运营商等网站昨日已有一大部分已经紧急修复该漏洞，但预计仍有一大部分中小型网站还未及时修复。

该漏洞仍是Struts框架中OGNL惹得的祸（历史上已经出现过多次这方面的漏洞），本次漏洞主要由于Struts框架对"action:", "redirect:" 和 "redirectAction:" 没有正确的处理导致的。该漏洞修复方案升级Struts框架到最新版本Struts 2.3.15.1 。

据@乌云漏洞报告平台的消息，淘宝、京东、腾讯等大型互联网厂商存在该漏洞，目前影响厂商扔在增长中。而且漏洞利用代码已经被强化，可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容！

由于Struts官方直接公布了该漏洞的利用方法，导致众多网站没有足够的时间进行修复，另外也给攻击者更加容易的做出各种攻击工具。安全界对Struts这种披露漏洞的方式进行了谴责，同时也提醒众多使用Struts框架的网站尽快修复该漏洞。还未修复该漏洞的用户，安全狗安全专家建议立即修复该漏洞。

由于该漏洞可以导致执行任意命令、写入文件等恶意行为，因此建议用户修复完后使用安全狗对网站文件进行一次安全性扫描，以免被黑客留下后门。

同时，安全狗安全专家建议还未修复的用户可全面开启安全狗的安全防护，防止黑客利用该漏洞执行一些非法命令、非法创建账号或者写入恶意文件。

白帽子向乌云漏洞报告平台提交的漏洞列表：