​漏洞：Struts2远程命令执行漏洞

　　Apache Struts 是一款建立 Java web 应用程序的开放源代码架构。Apache Struts 存在一个输入过滤错误，如果遇到转换错误可被利用注入和执行任意 Java代码。

　　网站存在远程代码执行漏洞的大部分原因是由于网站采用了Apache Struts Xwork 作为网站应用框架，由于该软件存在远程代码执高危漏洞，导致网站面临安全风险。CNVD 处置过诸多此类漏洞，例如：“GPS 车载卫星定位系统” 网站存在远程命令执行漏洞 (CNVD-2012-13934)；Aspcms留言本远程代码执行漏洞（CNVD-2012-11590）等。

　　在2013 年 6 月底发布的 Struts 2.3.15版本被曝出存在重要的安全漏洞，主要问题如下：

　　可远程执行服务器脚本代码

　　用户可以构造http: //host/struts2-blank/example/X.action?action:%25 {(new java.lang.ProcessBuilder (new java.lang.String []{‘command’,’goes’,’here’})).start ()} 链接，command goes here 可以换成是破坏脚本的路径和参数，比如 fdisk -f等，造成破环系统无法运行的目的。

　　重定向漏洞

　　用户可以构造如知名网站淘宝的重定向连接，形如<a href=”http : //www. 淘宝.com/item00001.html?redirect: http: // 黑客 /getyourPassword”>打折新款，引导用户点击后进入钓鱼网站，在界面上让其进行登陆用以获取用户的密码。