中国互联网遭遇Struts2漏洞严峻考验

Struts是Apache基金会Jakarta项目组的一项开源工程，它通过Java Servlet/JSP技术实现了基于Java EE的Web应用程序的模型-视图-控制器（MVC）设计模式，成为MVC经典模式的一个典范。目前，Struts在大型互联网公司、政府机构和金融单位的网站构建中得到了广泛应用，作为网站开发的基础模板，是最受欢迎的Web应用框架之一。

最近，Struts2被曝光存在两个高级安全漏洞，其中一个与使用缩写的导航参数前缀相关的远程代码执行漏洞，另一个则是与使用缩写的重定向参数前缀相关的开放重定向漏洞。这些漏洞使黑客能够获得网站服务器的“最高权限”，从而使企业服务器成为黑客的“肉鸡”。

Apache Struts团队已推出最新版本Struts 2.3.15.1，以修复上述漏洞，建议所有使用Struts 2.0至Struts 2.3版本的网站开发人员尽快进行升级。

根据乌云平台的漏洞报告，诸如淘宝、京东、腾讯等大型互联网企业均受到该漏洞的影响，同时漏洞利用代码已被加强，黑客可以通过浏览器直接提交请求，对服务器执行任意操作并获取敏感信息。Struts漏洞的危害不可小觑，受影响的网站多为电商、银行、门户和政府等行业，而且一些自动化和简化的利用工具已经出现，只需填入地址即可直接执行服务器命令、读取数据甚至进行关机等操作。

最后，我们再次提醒所有网站管理员，务必尽快将Struts 2升级至最新的2.3.15.1版本。

Struts 2.3.15.1官方下载链接：http://struts.apache.org/download.cgi#struts23151

Tags： 淘宝  京东 

提示：本站文章来源于网络或投稿