事件回顾：

2013年7月17日被许多人称之为中国互联网安全灾难日。这一天，成为许多安全运维、黑客的不眠之夜……

此前，据乌云漏洞报告平台、SCANV网站安全中心等安全机构发出的红色警报显示：世界知名开源软件Struts2再曝高危漏洞，该漏洞影响到struts2.0-2.3.15版本，可直接导致服务器被远程控制，引起数据泄漏。这些漏洞可使黑客取得网站服务器的“最高权限”，从而使企业服务器变成黑客手中的“肉鸡”。

Struts 2漏洞一石激起千层浪

Strut是Apache基金会Jakarta项目组的一个开源项目，其采用MVC 模式，帮助java开发者利用J2EE开发 Web 应用。Struts通过采用Java Servlet/JSP技术，实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架，目前，Struts广泛应用于大型互联网企业、政府、金融机构等网站建设，并作为网站开发的底层模板使用

Struts2已经并非第一次曝出高危漏洞，其在今年5月底发布的Struts 2.3.14.2版本、6月初发布的2.3.14.3版本，都修复了相关的漏洞，而这些漏洞都可能导致执行远程命令、访问/控制会话以及发起XSS攻击等。

然而以往的这些Struts2漏洞，都没有引起如此次这般巨大的影响。据360安全专家石晓虹博士介绍，由于Struts2属于底层框架，其漏洞影响范围广、利用难度低，利用该漏洞，“菜鸟”也可以使用攻击工具直接控制网站服务器，盗取用户数据库，获取网站注册用户的帐号密码和个人资料。

与此同时，网络上已开始出现一些自动化、傻瓜化的Stuts2漏洞攻击软件，只要在软件中填写存在Struts 2漏洞的网站地址，即可直接执行服务器命令，读取网站数据或让服务器关机等操作。

相关安全机构也纷纷在第一时间发布Stuts2漏洞的相关信息分析及漏洞补丁下载地址，力图将漏洞损失控制到最小范围。

然而，据乌云平台的数据显示：本次爆发的Struts漏洞影响巨大，受影响站点以电商、银行、门户、政府居多。国内数十个知名网站已经被发现受该漏洞影响，包括电信、移动、百度、腾讯、京东商城等网站的分站。而苹果官方也在今天向开发者发出邮件称，其开发者网站(developer.apple.com)遭到入侵，部分开发者信息可能已被泄露。有关安全专家认为，此次入侵或与此次爆发的Apache Struts2漏洞有关。虽然目前尚不清楚苹果被入侵的真正原因以及影响，但如果其真的与Struts2漏洞有关，一场全球性的互联网安全危机或将到来。