struts2危險漏洞解決方法

原創，bgy編寫。2013-07-24

前文：

       隨着蘋果開發者網站的淪陷，已經曝光一週的Apache Struts2漏洞再次成爲熱門話題，今天有消息稱因爲該漏洞被利用，淘寶的數據庫已經被盜，儘管淘寶官方否定了這一說法，可是從烏雲漏洞平臺的報告看，該漏洞已經波及到了包括京東、淘寶等在內的大型網站……

       經過「K8_Struts2_EXP」等工具，針對基於Struts2框架結構開發的網站或項目進行漏洞掃描。對於存在漏洞的幾乎無一倖免。可獲取您服務器的最高權限，此時的服務器如同「肉雞」，任攻擊者爲非做歹。而您，如坐鍼氈，機關用盡。

       網上有不少帖子，有談其危害性，嚴重性，也有如何防範的措施，方法等。不少都是你拷貝個人，我複製你的，沒有實質性的意義，可操做性上存在不足。

       本人針對這種狀況，作了實驗，得出具體解決問題的步驟和方法。

       注：最直接，最有效的方法！

思路：更換Struts2 Jar包。

如下是具體的步驟：

一、登陸Struts2官網，http://struts.apache.org/download.cgi#struts23151（具體的下載頁面），下載版本爲2.3.15.1的，struts-2.3.15.1-all.zip。

二、從struts-2.3.15.1-all\struts-2.3.15.1\lib中拷貝出

（1）javassist-3.11.0.GA.jar

（2）commons-io-2.0.1.jar

（3）commons-lang3-3.1.jar

（4）freemarker-2.3.19.jar

（5）ognl-3.0.6.jar

（6）commons-fileupload-1.3.jar

（7）xwork-core-2.3.15.1.jar

（8）struts2-core-2.3.15.1.jar

（9）struts2-spring-plugin-2.3.15.1.jar

注：保留原有的commons-lang-2.6.jar，其他的替換舊版本。（刪除對應舊版本，而後將上述9個Jar包拷貝進去）

三、從新編譯。完畢