ApacheStruts2框架是在Struts和WebWork的技术基础上进行了合并后的全新框架。其全新的Struts2的体系结构与Struts1的体系结构的差别巨大。Struts2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱离开，所以Struts2可以理解为WebWork的更新产品。Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设，作为网站开发的底层模板使用，目前大量开发者利用J2ee开发Web应用的时候都会利用这个框架。

ApacheStruts2框架最早于2010年7月14日被发现存在一个严重命令执行漏洞，但随之出现了防范技术，最近随着近期Struts2带回显功能的POC被公布，出现大量的利用工具，并导致大量使用此框架的网站沦陷，并呈扩散趋势。据第三方安全问题反馈平台”乌云”上白帽子的提交来看，国内已有上百个大型网站(主要包括政府、金融、运营商、企业等)存在被该漏洞利用的风险，被骇客恶意攻击的网站不计其数。目前安恒信息的安全产品均能检测和防护该漏洞，彻底阻断骇客的恶意攻击。

　　图：Struts2远程执行漏洞在第三方安全问题反馈平台WOOYUN的不完全统计情况

如果说“震网”病毒和“火焰”病毒是对信息系统造成了很大的冲击，那么现在的“Struts2漏洞”就是针对互联网社会公共安全的一次挑战。经安恒信息安全人员分析，由于Struts2漏洞的利用工具已经大面积散播，导致恶意攻击者的攻击成本和时间大大降低，攻击者只需要在利用工具中填入存在漏洞的网址或IP，即可自动执行并获取网站权限，未来很可能会成为恶意攻击和信息窃取的主要攻击目标。特别是政府、公安、交通、金融和运营商等尤其需要重视该漏洞，这些单位和机构需要非常重视信息安全保密工作，敏感信息的泄漏有可能对国家造成沉重的打击，甚至会违反相关的法律规定。在最近几年APT攻击横行的时期，骇客早也不再以挂黑页炫耀为目的，攻击者可能通过该漏洞作为突破口渗透进入其内部网络长期蛰伏，不断收集各种信息，直到收集到重要情报。请记住，在如今的互联网时代，只要是能换成钱的东西，骇客们都愿意尝试，其中更不乏诸多政治骇客(如国际黑客组织Anonymous)。

　　图：Struts2漏洞利用工具

安恒信息的安全专家提醒目前正在使用Struts框架的网站的管理员，目前Aapche官方已经在Struts2.2.0版本中修复了这个安全问题。由于struts2.2.0仍然存在其他安全问题，建议用户请尽快升级到当前最新版本2.3.4(下载地址：http://struts.apache.org/download.cgi#struts234)。另外，在修补漏洞的同时千万不要忘记查看服务器或网站是否已经被入侵，是否存在后门文件等，尽量将损失和风险控制在可控范围内。

(责任编辑：)