Struts2历史重大漏洞分析与总结报告

概述

2018年，同往年一样，还是爆发了很多重大漏洞，如Drupal远程代码执行漏洞、S2-057命令执行、Adobe Flash Player 任意代码执行等漏洞，其中包括了常年必有的Struts2RCE漏洞。

Struts2 作为世界上最流行的 JavaWeb 服务器框架之一，全球很多行业包括但不限于金融、教育、医疗的系统都使用它当作底层框架，分布范围极广，可见其漏洞危害有多大，而Struts2漏洞却常年爆发。为了让大家更加了解和重视Struts2漏洞，天融信阿尔法实验室联合安全云服务运营中心编写了本报告。

历年Struts2漏洞概况

Struts2于2007年发布，当年就爆发了一个漏洞，随后漏洞数量每年呈现递增的趋势。到2016年，漏洞数量达到18个。2017年漏洞数量稍有下降，但也同样保持在两位数的水平。

在近10年来爆发的57个Struts2漏洞中，占比最大的是命令执行类漏洞，足足有28个，占总量的49%，同时该漏洞类型与其它类型相比也是危害最大的。占据第二位的是DOS类漏洞，有10个，占比为17%。

从近几年天融信所监测的网站中做抽样分析。其中存在Struts2漏洞的网站行业分布比较广泛，教育行业使用量最多，受到的影响也是最多的，约占抽查总量的25%；排名第二的是政府行业，占21%；其次是金融，企业，能源等行业。可见Struts2漏洞的爆发，基本对各行各业都产生了影响。

对于Struts2全国分布情况，根据统计，设备数量使用最多的省份是北京市，占全国数量的21%；其次是广东省，占全国数量的17%；浙江省占全国数量的14%。

报告目录：

1. 前言

2. Struts

2 背景介绍

3. Struts2 漏洞统计及分析

4. Struts2漏洞数据分析

5. 总结及建议

完整报告：http://www.topsec.com.cn/uploads/soft/2019/20190117.pdf

声明：本文来自天融信，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。