“超级漏洞”波及国内几十家网站(黑客技术自学)

　　一场全球性的漏洞风暴席卷了互联网，它的名字叫Struts2。有安全人士打了个比方:Struts2是网站开发的底层模板。如果把网站理解为一座高楼，Struts2就是大厦的根基，门户、视频网站、银行、政府、学校、电商等网站都离不开它。“有了这个漏洞，任何人都可以偷偷‘挖隧道’，潜入楼里偷东西。”上述人士表示。

　　目前，国外很多网站都被黑过，但知名网站有十几家，如淘宝、支付宝、JD.COM等。卷入泄密事件的，已经出面否认。不排除黑客被“拖”过的可能，建议网友经常更换密码。

　　1 很多网站嗅到了“超级漏洞”的味道

　　Struts2到底是什么?为什么这个鲜为人知的漏洞会让国内外很多网站感到恐惧?

　　记者发现，Struts2是A-pache出品的开源框架产品，作为网站开发的底层模板。然而，在一次远程代码执行漏洞爆发后，即使是不懂黑客技术的菜鸟也能轻松攻破多家知名网站。

　　“你可以理解，大楼的地基上有一个洞。每个人都可以挖一个隧道，利用这个洞轻松进入大楼偷东西，比如在网站中植入后门，关闭/控制服务器，窃取数据库等等。”30.30网站安全总监吴钊表示，与浏览器漏洞导致的个人电脑不同，Struts2漏洞的危害直奔网站，影响更大。首先，Struts2的使用率非常高，全球大量网站都在使用这个框架产品，而这次暴露的漏洞非常严重，所以黑客才能获得最终权限。

　　“漏洞补丁需要网站手动打补丁，而不是推送。很多网站技术实力薄弱，对Struts2一无所知，更别说这个漏洞和打补丁了。这样一来，漏洞细节公布后，大量网站仍然存在该漏洞，黑客更有可能利用该漏洞进行攻击。”吴钊解释道。

　　2 国内大量知名网站“躺枪”

　　记者在乌云漏洞平台近日公布的一份名单中看到，包括网易、搜狐、淘宝、库巴、百度、联通分站、yeepay、土豆网、JD.COM商城、1号店、百合网等在内的大量网站，已被“躺枪”，存在因上述高危漏洞而泄露的可能，但接受记者采访时大多回应称已被“修复”。

　　淘宝官方微博宣布，在Struts2漏洞公布的当天，该漏洞已在第一时间被修复，确认该漏洞未被成功利用。到目前为止，用户的数据安全和账户数据没有任何异常。随即，支付宝也转发了淘宝的微博，称“支付宝没有受到影响。”

　　JD.COM商城公关部负责人告诉记者，早在上个月17日，Apache官方公布struts2框架中一个编号为“S2-016”的严重漏洞时，已经修复处理，业务和用户数据并未受到该漏洞的影响。

　　值得注意的是，这次遭殃的网站还包括国内一些网银的分站。业内人士推测，即使黑客无法突破其总部数据库，也有可能通过挂马的方式盗取用户的银行账户。

　　3 建议网友“技术上”改密码

　　其实在国外，Struts2漏洞的受害者已经出现了。先是Ubuntu开发者社区被黑，182万用户数据被盗。随后，苹果开发者网站宕机五天，苹果总部承认遭受了黑客入侵。虽然没有点名，但是很多it公司已经自动把这个账号算到Struts2漏洞里了。

　　吴钊说，目前，互联网上出现了一些自动的、愚蠢的攻击软件。只要在软件中填写存在Struts2漏洞的网站地址，就可以读取网站数据或者关闭服务器。“遗憾的是，这个漏洞存在于大量的国内网站中，并且由于各种原因一直没有被修复。”据他分析，由于利用漏洞的成本非常低，黑客必然会采取行动，但目前黑客市场上还没有新被盗的数据库。

　　对于普通网民来说，常用网络账号的密码最好经常更换，重要账号的密码要“技术上”单独设置。