Struts自爆0day 导致国内互联网血雨腥风

Struts是Apache软件基金会赞助的一个Java开源项目。通过采用JavaServlet/JSP技术，实现了基于Java EE Web应用的MVC设计模式的应用框架，是MVC经典设计模式中的一个经典产品，也是国际上应用最广泛的Web应用框架之一。网上银行、政府网站、主要门户网站都大量使用Struts。

我们提供的服务有：网站建设、网站设计、微信公众号开发、网站优化、网站认证、成华ssl等。为上1000家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务，是有科学管理、有技术的成华网站制作公司

近日，Apache Struts2发布漏洞公告，声称Struts2应用框架出现一个高危漏洞。同时发布的，还有漏洞补丁包(最新版本为：2.3.15.1)和黑客攻击尝试验证代码。

经国内网站安全服务商SCANV.COM确认，该漏洞可以影响到Struts 2.0.0 - Struts 2.3.15的所有版本。攻击者可以利用该漏洞，执行恶意Java代码，最终导致网站被完全入侵控制，从而数据被窃取、网页被篡改等严重后果。

从2013年7月17日开始到7月18日，国内漏洞平台Wooyun上确认被此漏洞攻陷的网站数量急剧上升，连续两天高烧不退，国内互联网一片腥风血雨。与此同时，漏洞的利用代码已在不断被强化，可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。

包括苹果、中国移动、中国联通、百度、腾讯、淘宝、京东、Sohu、民生银行等大型企业的网站均遭毒手，运维工程师苦不堪言。

国内知名黑客，知道创宇安全研究员Superhei表示：“很多人质疑我们为什么对外面公布的漏洞响应不提来源及细节，这次的Struts就是一个很好的例子。不同的是官方自己发布了攻击代码程序。根本就没给用户去部署补丁及各种兼容性的测试的时间。作为一个国际知名的开源团队，Apache Struts太不合格了!漏洞响应就是一个时间的博弈!”

目前国内网站安全服务商SCANV已在其官方站长工具栏(http://www.scanv.com/tools/)提供了该漏洞的检测服务，使用Struts框架的网站运维人员可以验证一下自己的网站是否存在该漏洞。

与此同时，国内云防御和加速平台“加速乐”也已经在其服务端中加入了该漏洞的防护策略，联合国静态交通委员会、国务院中央政府采购网等6.7万家网站已经使用此平台做安全防御，抵挡黑客攻击。

网页标题：Struts自爆0day 导致国内互联网血雨腥风
网页路径：http://www.hantingmc.com/qtweb/news15/514715.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联