月初听闻广东某高校(中山大学)发布通知:关于停止使用Apache Struts2开发框架的通知
鉴于S2漏洞较多、维护难度较大,为防范控制网络安全风险,经研究决定,新建信息化项目不得使用S2;
在用S2的信息系统(网站)应尽快转用其他更安全的MVC框架(如Spring MVC等);从即日起,使用S2的信息系统(网站)将仅限校园网内访问。
作为信息安全爱好者,个人对学校的决定是举双手支持的,Struts 2框架在安全方面似乎有着与生俱来的缺陷,与同类开源项目相比,它的问题是在是太多了。下面说一下我个人支持的原因:
二、政治影响
2017年被“反共黑客”组织篡改的学校网站:
1月5日 广东技术师范学院文学院
1月8日 青岛农业大学中心实验室仪器设备预约管理系统
1月11日 湖南理工学院计算机学院
1月17日 安徽农业大学茶实验室
2月7日 青海卫生职业技术学校办公系统
2月25日 黑龙江林业职业技术学院图书馆
3月24日 上海市宝山职业技术学校
3月27日 教学资源网
4月17日 昭通师范高等专科英语写作精品课程网站
4月20日 四川大学锦江学院学生综合管理系统
4月23日 上海工商信息学校评估资料阅读网站
4月26日 北京第109中学数字化校园平台
5月8日 唐山市职业教育中心教育资源公共服务平台
5月11日 山西省教育科学研究院网络互动教研平台
5月14日 北京工业大学就业服务网
5月20日 贵州工商职业学院迎新管理信息系统
5月23日 河北省围场满族蒙古族自治县职业技术教育中心
5月29日 驻马店市基础教育教学研究成果评选管理系统
6月1日 福建职业教育网
6月19日 浙江旅游职业学院迎新管理信息系统
6月28日 沁阳教育局
7月1日 北京大学物理学院大气与海洋科学系英文版
7月4日 苏州独墅湖创业大学
7月19日 苏州工业职业技术学院迎新管理信息系统
7月22日 宜宾市翠屏区教师发展平台
8月12日 安徽怀远县教师进修学校
9月2日 湖南城建职业技术学院迎新管理信息系统
…………………………
据统计“反共黑客”黑客组织截至2015年9月7日发布的全部416起攻击事件,有120起攻击针对教育系统网站,占全部攻击的29%。
“反共黑客”入侵网站特点除了大多利用已公开漏洞入侵网站之外,我们注意到“反共黑客”近期的活动大多利用Struts 2框架的远程代码执行漏洞(S2-016)进行网站入侵。
——(引自《“反共黑客”教育系统网站攻击分析报告》)
2016年教育行业被“反共黑客”组织攻击站点数量为21个,绝大部分是apache Struts2的Java框架,其中只有2个不是S2框架;
2017年至今,教育行业被“反共黑客”组织攻击站点数量为32个,全部都是apache Struts2的Java框架;
从以上的简单统计,不难看出,针对apache Struts2框架的应用的攻击,呈大幅上升的趋势,所以高校必须花大力气去规避Struts2框架带来的风险。
一方面,对至今仍然存在Struts2远程代码执行漏洞的网站进行专项整治,下线或关停。
另一方面必然是从源头着手,对于新购置、新建设的业务系统建议放弃使用Struts2的框架厂商。