通信世界网讯(CWW)360网站安全率先发布“Struts2漏洞检测工具”。截止到今天上午10点，已经有800多家网站通过该工具进行了安全检测。

“Struts2漏洞检测”工具使用非常简单，只需要输入域名即可进行检测。检测结果中，还提供了该Struts2漏洞的临时修复方案。

Apache Struts2的该漏洞是国外安全研究人员日前发现的。研究人员发现，Apache Struts2在处理CVE-2014-0094的漏洞补丁中存在缺陷，会被轻易绕过，黑客进而能窃取到网站数据。

图：360网站安全率先发布“Struts2漏洞检测工具”

4月24日，360网站卫士第一时间添加防御规则，并率先发布临时解决方案；4月25日下午，Apache官方才发布Struts2漏洞的临时修复方案；4月25日晚上，360网站安全检测率先发布“Struts2漏洞检测”工具（http://safe.webscan.360.cn/loudong）。

Struts2的该漏洞主要影响国内电商、银行、运营商等诸多大型网站。

广大网站可以使用该“Struts2漏洞检测”工具检查自己的网站是否存在该漏洞。同时，网站也可以申请加入360网站卫士，以有效拦截基于Struts2漏洞的黑客攻击。

附：Struts2漏洞临时修复方案

第一种：找到你的struts.xml文件，将excludeParams的内容替换成下面的代码：

<interceptor-ref name="params">

<param name="excludeParams">(.*\.|^|.*|\[('|"))(c|C)lass(\.|('|")]|\[).*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

</interceptor-ref>

第二种：如果你使用的是struts-default.xml的默认参数拦截器，请将以下代码：

<package name="default" namespace="/" extends="struts-default">

<default-interceptor-ref name="defaultStack" />

...

...

</package>

替换为：

<package name="default" namespace="/" extends="struts-default">

<interceptors>

<interceptor-stack name="secureDefaultStack">

<interceptor-ref name="defaultStack">

<param name="params.excludeParams">(.*\.|^|.*|\[('|"))(c|C)lass(\.|('|")]|\[).*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>

</interceptor-ref>

</interceptor-stack>

</interceptors>

<default-interceptor-ref name="secureDefaultStack" />

...

</package>

更多信息请参考官方网站：http://struts.apache.org/announce.html#a20140424