前天晚上（4月26日），中国互联网遭遇了一场服务器安全性的巨大挑战：Struts 2漏洞！

2016年4月21日Apache官方发布了安全公告(官方编号S2-032/CVE编号CVE-2016-3081)，Apache Struts2服务在开启动态方法调用(DMI)的情况下，可以被远程执行任意命令，安全威胁程度高。这一漏洞影响的软件版本为2.3.20-2.3.28。这是自2012年Struts2命令执行漏洞大规模爆发之后，该服务时隔四年再次爆发大规模漏洞。

国内权威安全众测平台 “乌云漏洞报告平台” 已收到100多家网站的相关漏洞报告，其中互联网金融、电商、基础服务企业占了很大比例（甚至银行也未幸免）。

　　Struts2漏洞怎么解决

Struts2是Apache项目下的一个web 框架（Apache Struts 2是世界上最流行的Java Web服务器框架之一。），普遍应用于阿里巴巴、京东等互联网、政府、企业门户等大中型网站。

其实在2013年6月底发布的Struts 2.3.15版本也被曝出存在重要的安全漏洞，当时的主要问题如下：①、可远程执行服务器脚本代码

用户可以构造http://host/struts2-blank/example/X.action?action:%{(new java.lang.ProcessBuilder(new java.lang.String[]{'command','goes','here'})).start()}链接，command goes here可以换成是破坏脚本的路径和参数，比如fdisk -f等，造成破环系统无法运行的目的。

②、重定向漏洞

用户可以构造如知名网站淘宝的重定向连接，形如打折新款,引导用户点击后进入钓鱼网站，在界面上让其进行登陆用以获取用户的密码。

最新Struts2漏洞解决办法

①、禁用动态方法调用

修改Struts2的配置文件，将“struts.enable.DynamicMethodInvocation”的值设置为false，比如：

；

②、升级软件版本

如果条件允许，可升级Struts版本至2.3.20.2、2.3.24.2或者2.3.28.1，这几个版本都不存在此漏洞。

升级地址：https://struts.apache.org/download.cgi#struts23281

终极解决办法：换云服务器

说来说去，服务器的安全问题主要体现在两块：DDoS攻击和漏洞攻击。换安全有保障的云服务器才是王道。国内很多云服务器都对安全问题都有很好的技术防范、预测、处理方案，比如 UCloud云计算。

UCloud 的优盾服务拥有5大安全模块：

①基础安全服务

基础安全服务是为使用UCloud弹性IP的用户提供基础的安全服务，弹性IP可与云主机、云路由、负载均衡绑定。当这些绑定弹性IP的设备遭受到DDoS攻击、暴力破解、异地登陆这些攻击时，系统会进行记录和分析，帮助用户排查安全隐患。

②Web应用防护

UCloud云WAF通过一系列针对Web应用的安全策略来专门为Web应用保驾护航。能够检测并阻断常用的Web扫描攻击、Web漏洞攻击、SQL注入攻击、XSS攻击、远程命令执行、CC攻击等一系列攻击。专业安全团队及时漏洞响应，规则不定期更新，为您的Web应用提供专业保护。

③入侵防御系统

UCloud云IPS以全面深入的协议分析为基础，通过协议分析引擎动态地分析报文中包含的协议特征，能够快速、准确地检测出四到七层的恶意系统扫描、暴力猜测、系统漏洞攻击、缓冲区溢出攻击、应用程序攻击、蠕虫病毒、后门木马等恶意攻击行为，并能够对攻击进行实时阻断。专业安全团队及时漏洞响应，规则不定期更新，为您的主机提供专业保护。

④高防服务

高防为已备案的域名或源站IP（包括非UCloud的弹性外网IP）提供DDoS攻击防护。当用户的域名或源站IP（包括非UCloud的弹性外网IP）在遭受大流量的DDoS攻击时，可以通过高防IP代理源站IP面向用户，隐藏源站IP，将攻击流量引流到高防IP，确保源站的稳定正常运行。

⑤云加密服务

云加密服务(UCloud encrypt service)通过使用经国家密码管理局检测认证的硬件密码机，帮助用户满足数据安全方面的监管合规要求，保护云上业务数据的隐私性和机密性。借助加密服务，用户可以进行安全的密钥管理，并使用多种加密算法来进行加密运算。用户不必再为繁复的设备集成与管理工作耗费额外的精力，仅需要申请相应规模的密码服务即可。