月初听闻广东某高校(中山大学)发布通知:关于停止使用Apache Struts2开发框架的通知
鉴于S2漏洞较多、维护难度较大,为防范控制网络安全风险,经研究决定,新建信息化项目不得使用S2;
在用S2的信息系统(网站)应尽快转用其他更安全的MVC框架(如Spring MVC等);从即日起,使用S2的信息系统(网站)将仅限校园网内访问。
作为信息安全爱好者,个人对学校的决定是举双手支持的,Struts 2框架在安全方面似乎有着与生俱来的缺陷,与同类开源项目相比,它的问题是在是太多了。下面说一下我个人支持的原因:
二、政治影响
2017年被“反共黑客”组织篡改的学校网站:
1月5日 广东技术师范学院文学院
1月8日青岛农业大学中心实验室仪器设备预约管理系统
1月11日湖南理工学院计算机学院
1月17日安徽农业大学茶实验室
2月7日青海卫生职业技术学校办公系统
2月25日黑龙江林业职业技术学院图书馆
3月24日上海市宝山职业技术学校
3月27日教学资源网
4月17日昭通师范高等专科英语写作精品课程网站
4月20日四川大学锦江学院学生综合管理系统
4月23日上海工商信息学校评估资料阅读网站
4月26日北京第109中学数字化校园平台
5月8日唐山市职业教育中心教育资源公共服务平台
5月11日山西省教育科学研究院网络互动教研平台
5月14日北京工业大学就业服务网
5月20日贵州工商职业学院迎新管理信息系统
5月23日河北省围场满族蒙古族自治县职业技术教育中心
5月29日驻马店市基础教育教学研究成果评选管理系统
6月1日福建职业教育网
6月19日浙江旅游职业学院迎新管理信息系统
6月28日沁阳教育局
7月1日北京大学物理学院大气与海洋科学系英文版
7月4日苏州独墅湖创业大学
7月19日苏州工业职业技术学院迎新管理信息系统
7月22日宜宾市翠屏区教师发展平台
8月12日安徽怀远县教师进修学校
9月2日湖南城建职业技术学院迎新管理信息系统
…………………………
据统计“反共黑客”黑客组织截至2015年9月7日发布的全部416起攻击事件,有120起攻击针对教育系统网站,占全部攻击的29%。
“反共黑客”入侵网站特点除了大多利用已公开漏洞入侵网站之外,我们注意到“反共黑客”近期的活动大多利用Struts 2框架的远程代码执行漏洞(S2-016)进行网站入侵。
——(引自《“反共黑客”教育系统网站攻击分析报告》)
2016年教育行业被“反共黑客”组织攻击站点数量为21个,绝大部分是apache Struts2的Java框架,其中只有2个不是S2框架;
2017年至今,教育行业被“反共黑客”组织攻击站点数量为32个,全部都是apache Struts2的Java框架;
从以上的简单统计,不难看出,针对apache Struts2框架的应用的攻击,呈大幅上升的趋势,所以高校必须花大力气去规避Struts2框架带来的风险。
一方面,对至今仍然存在Struts2远程代码执行漏洞的网站进行专项整治,下线或关停。
另一方面必然是从源头着手,对于新购置、新建设的业务系统建议放弃使用Struts2的框架厂商。
我为什么支持高校的业务系统放弃Apache Struts2框架(二)
原文地址:http://www.cnblogs.com/wecare/p/7783262.html