【中國互聯網不眠夜】Struts2漏洞百出，OneRASP鼎力相助

Struts2是一款優秀的網站框架，在互聯網上有十分普遍的應用，近期apache官方發佈了高危漏洞通告Apache Struts 任意代碼執行漏洞（CVE-2016-3081，S2-032），該漏洞風險等級爲高級且普遍影響Struts2各版本，利用該漏洞黑客能夠執行任意命令、可直接獲取網站服務器權限等，具備嚴重的危害性。中國國家信息安全漏洞庫於4月26日正式發佈了該漏洞信息，一晚上之間烏雲等互聯網漏洞平臺已曝出大量銀行、互聯網公司、傳統企業的網站受該漏洞影響。

這自2012年Struts2命令執行漏洞大規模爆發以後，該服務時隔四年爆發大規模以後，該服務時隔四年爆發的大規模漏洞。

爲何這個漏洞事件影響會如此嚴重？ 國內外使用Apache Struts2框架的企業機構實在太多，安全過渡依賴第三方，甚至能看到本次被第一時間暴漏影響到的是金融行業和運營商。而這些企業機構掌握的核心的數據資產，使得該漏洞的影響更爲嚴重。固然，幾年前的Struts2漏洞影響餘波甚至能夠追溯到2015年，甚至目前還有一些企業機構外網和內網還存在不少幾年前未修復的漏洞現象。而基本通過前幾回的補丁升級，如今能看到的大多數企業團隊使用的Apache是存在有問題的版本，這方面的數據，其實很期待有更專業的安全團隊來進行分析比對，有一組更爲直觀的數據能夠展現。

截止目前，烏雲漏洞報告已收到100多家網站的相關漏洞報告，其中銀行佔了很大比例，目前已有多個版本的漏洞利用POC在互聯網流傳，分爲命令執行版本與直接寫入web後門的版本

本次漏洞影響範圍

漏洞測試樣例

解決方案一

解決方案二 使用OneRASP JAVA探針可實時阻斷漏洞攻擊，代碼級定位漏洞。

現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。OneRASP實時應用自我保護技術,能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。閱讀更多技術文章，請訪問OneAPM 官方技術博客。

本文轉自 OneAPM 官方博客