Struts這個漏洞這次來勢之所以這么兇猛----直接導致國內的很多銀行、政府機構、幾乎所有的大中型互聯網公司，國外的包括蘋果的開發者網站都被黑掉了----和Struts官方不負責任的態度有很大關系。官方這次在自己的漏洞公告中直接把漏洞利用代碼給貼出來了，這是一種很罕見的做法。

從很多年前起，安全行業里默認的行規是“提示漏洞存在，但只公布描述，不公布細節”。大多數安全公告連漏洞涉及的代碼都不公布，更遑論直接給出漏洞利用方法的。這樣做的原因就是防止漏洞細節被黑客看到后，直接利用漏洞攻擊用戶。

一般的安全廠商在看到漏洞公告后，可能會通過“補丁對比”，或者是二進制軟件的逆向分析等技術來定位漏洞的原理。這對分析人員的技術要求是非常高的，熟練掌握這種技術的人一般都有個外號，叫做“大牛”。這種技術門檻從一定程度上遏制了漏洞被大面積利用。

從歷史來看，一個漏洞對互聯網的影響大小，與該漏洞是否存在傻瓜化利用工具有關。漏洞的利用工具被傳播的越廣，對互聯網來說造成的影響就越大。因為會有很多腳本小子，拿著傻瓜化的工具肆無忌憚的四處搞破壞。

Struts這個漏洞這次本來不會這么嚴重，過往有些比這更嚴重的漏洞也沒有造成這么惡劣的影響。但官方不負責任的披露了漏洞利用方法，首先就讓這個漏洞被大面積利用成為可能。然后國內的黑客們看到后，在某社區里引起了熱烈的討論。接下來有不少黑客，利用官方給出的“幫助”，很輕松的就寫出了自動利用的工具，并開始找網站漏洞。

如果僅僅到這里，局面也不會失控。但是接下來有黑客們開始展開競賽一般的“戰果展示”，把存在漏洞的網站公布在第三方平臺上，這就好比“殺人比賽”一樣，就看誰干掉的網站多，看誰干掉的網站大。他們的戰果豐碩，干掉了包括百度、騰訊、淘寶等在內的很多大網站，甚至是國家級的政府網站，這進一步又在微博上引發了不少大號們對這個漏洞的討論。至此，局面徹底失控。

很多之前沒有關注這個漏洞的黑客們也開始關注這個漏洞，他們出于各自的目的，開始找尋存在漏洞的網站。可以不夸張的說，整個中國互聯網應該被狠狠的捋了一遍，如果你用了Struts但卻沒被黑客關注過，那只能很可悲的說明你的網站太小了，小到整個安全行業所有人打著燈籠都找不到你。

這就是互聯網的放大作用。

而對于始作俑者，Apache基金會下的Struts，我只能說Struts官方真是一朵奇葩。這并非Struts第一次出這種高危漏洞，但Struts官方對于安全問題的處理一直都很有問題，要么就是沒有搞明白漏洞的原理，同一個漏洞補兩三次都補不好，要么就是像這次這樣，直接公布了漏洞利用方法。

在我寫的《白帽子講Web安全》第291頁，就記載了Struts修補一個漏洞時笑話百出的場景。官方完全沒有理解漏洞原理，僅僅針對漏洞報告者提供的特征字符做了過濾，結果接二連三的被繞過，一個簡單的漏洞，修補了兩三次都沒有修補好。所以Struts在安全問題上的低智商是有歷史的，屢教不改，還桀驁不馴。

這次中國互聯網被捋了一遍，造成的損失不可估量。如果很多大網站的數據庫因為這個漏洞被盜，在接下來的一兩年中，大家又會多接到很多騷擾電話和騷擾短信，有針對性的詐騙案件也會上升。

我想到了黑哥的那句話：官方都需要教育！