struts2危险漏洞解决方法

原创，bgy编写。2013-07-24

前文：

       随着苹果开发者网站的沦陷，已经曝光一周的Apache Struts2漏洞再次成为热门话题，今天有消息称因为该漏洞被利用，淘宝的数据库已经被盗，尽管淘宝官方否定了这一说法，可是从乌云漏洞平台的报告看，该漏洞已经波及到了包括京东、淘宝等在内的大型网站……

       经过“K8_Struts2_EXP”等工具，针对基于Struts2框架结构开发的网站或项目进行漏洞扫描。对于存在漏洞的几乎无一幸免。可获取您服务器的最高权限，此时的服务器如同“肉鸡”，任攻击者为非做歹。而您，如坐针毡，机关用尽。

       网上有不少帖子，有谈其危害性，严重性，也有如何防范的措施，方法等。不少都是你拷贝个人，我复制你的，没有实质性的意义，可操做性上存在不足。

       本人针对这种状况，作了实验，得出具体解决问题的步骤和方法。

       注：最直接，最有效的方法！

思路：更换Struts2 Jar包。

如下是具体的步骤：

一、登陆Struts2官网，http://struts.apache.org/download.cgi#struts23151（具体的下载页面），下载版本为2.3.15.1的，struts-2.3.15.1-all.zip。

二、从struts-2.3.15.1-all\struts-2.3.15.1\lib中拷贝出

（1）javassist-3.11.0.GA.jar

（2）commons-io-2.0.1.jar

（3）commons-lang3-3.1.jar

（4）freemarker-2.3.19.jar

（5）ognl-3.0.6.jar

（6）commons-fileupload-1.3.jar

（7）xwork-core-2.3.15.1.jar

（8）struts2-core-2.3.15.1.jar

（9）struts2-spring-plugin-2.3.15.1.jar

注：保留原有的commons-lang-2.6.jar，其他的替换旧版本。（删除对应旧版本，而后将上述9个Jar包拷贝进去）

三、从新编译。完毕