全國版） - (危險！互聯網再曝“驚天漏洞” 多家知名網站告急，電商網站或成重災區

蘋果淪陷、淘寶淪陷、網易淪陷、樂蜂淪陷、百合網淪陷……近日，self storage一個名為"Struts 2"的安全漏洞不僅讓�多知名網站陷入安全危機，也讓金山安全中心、瑞星互聯網攻防實驗室、360互聯網安全中心等信息安全防護機構同時拉響了紅色警報。什麼是Struts 2？據介紹，這是多個存在於網站應用框架Struts中的底層軟件漏洞，這個漏洞影響力很大卻偏偏利用難度低，利用該漏洞，"菜鳥"也可以使用攻擊工具直接控制網站服務器，盜取用戶數據庫，獲取網站註冊用戶的賬號密碼和個人資料。也正是因此，"Struts 2"被互聯網安全領域人士看作是"互聯網歷史上又一重大安全危機"。Struts 2漏洞恐危及多家電商據南方日報記者瞭解， Struts是Apache基金會Jakarta項目組的一個開源項目，它採用MVC 模式，幫助java開發者利用J2EE開發Web應用。目前，Struts廣泛應用于大型互聯網企業、政府、金融機構等網站建設，並作為網站開發的底層模板使用。瑞星安全專家介紹，本次曝出的2個漏洞是由於縮寫的導航和重定向前綴"action："、"redirect："、"redirectAction："造成的。瑞星安全專家表示，由於這些參數前綴的內容沒有被正確過濾，導致黑客可以通過漏洞執行命令，獲取目標服務器的信息，並進一步取得服務器最高控制權。屆時，被攻擊網站的數據庫將面臨全面泄密的威脅，同時黑客還可以通過重定向漏洞的手段，對其他網民進行釣魚攻擊或掛馬攻擊。360安全專家石曉虹博士在接受採訪時表示，由於Struts 2屬於底層框架，其漏洞影響範圍廣、利用難度低，"菜鳥"也可以使用攻擊工具直接控制網站服務器，盜取用戶數據庫。"2011年底多家網站'密碼庫'泄露事件有可能再次上演。"據資料顯示，2011年12月，CSDN的安全系統遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄露。隨後，CSDN"密碼外泄門"持續發酵，天涯、世紀佳緣、人人網等網站相繼被曝用戶數據遭泄密。天涯網更發佈致歉信，稱天涯4000萬用戶隱私遭到黑客泄露，據統計，CSDN"密碼外泄門"造成超過1億賬號密碼被曝光在網上。而如今Struts 2漏洞更被不少業內人士看作是CSDN"密碼外泄門"後，中國互聯網領域中又一次大量用戶個人信息泄露的"慘劇"。南方日報記者在一份"烏雲網公佈的存在漏洞的網站名單"內看到，受Struts 2漏洞影響的網站不迷你倉天極網、百合網、網易、17173、樂蜂網等國內知名互聯網網站。而據金山安全專家表示，由於國內大量電子商務網站基於Struts建設，在這次Struts 2漏洞風暴中或將淪為重災區。意識漏洞比技術漏洞更可怕"互聯網數據大規模被泄露，這種情況已經存在很長時間，長久以來國內整個信息系統都存在著問題。這是所有的網絡公司存在的問題。"CSDN總裁蔣濤曾經就國內互聯網安全問題發表過自己的看法，"第三方數據安全審計公司對各網站的掃描結果顯示，80%以上的互聯網公司都存在著漏洞，有安全策略的公司60%以上還存在著漏洞，這是我們互聯網的現狀。"蔣濤認為國內互聯網公司當前普遍存在兩個現狀，一是重視業務，二是缺乏安全意識，對於數據安全和系統安全認識不夠。有安全領域專家在接受記者採訪時就表示，Struts 2漏洞並非第一次爆發，類似的問題其實一直都存在於互聯網領域內，但是由於之前並未被黑客加以利用而造成太大影響，所以讓很多網站的安全管理人員不夠重視並心存僥倖。據南方日報記者瞭解，國內大量的網站均存在該漏洞，但大部分網站連Stuts 2之前的老漏洞都尚未進行過修復，而在本次Struts 2漏洞出現後，使得用戶的個人信息成為了黑客眼中的"魚肉"。"我們金山毒霸能做的比較有限。"作為互聯網安全軟件，金山網絡相關負責人在接受南方日報記者採訪時坦言，在面對類似Struts 2漏洞的網絡安全威脅時，一般的互聯網安全軟件的作用僅僅是提醒用戶，但是主動能夠提供的防禦非常有限。有安全領域專家表示，目前還沒有確切證據標明已經有大型網站的數據庫被拖庫（拖庫是指將從數據庫導出數據，各大網站通常會將數據庫進行加密，黑客會將這些數據庫破解並獲得數據），而黑市上也沒有新的數據庫出現，主要是由於Struts 2漏洞公開的時間不長，影響可能要到幾個月後才會顯現。面對新漏洞，我們怎麼防？瑞星安全專家提醒廣大網站管理員，應到Struts 2的官方網站下載最新的補丁程序，儘快將Struts 2升級到最新的2.3.15.1版本，以避免可能遭遇的嚴重安全威脅。金山毒霸提醒普通網民高度注意以下兩點：1.近期需要特別重視防騙：可能會有攻擊者利用泄露出來的網民個人信息大量行騙。2.建議修改重要的網站登錄密碼（如購物網站、重要電子郵箱等），有一個密碼通行所有網站的用戶必須改變這種不良習慣，因攻擊者可以輕易使用原來的密碼去嘗試登錄更多網絡服務。南方日報記者 葉丹文件倉