263邮箱服务器被黑 竟然是Struts2漏洞未修补

因入侵263邮箱服务器的王某，日前被昌平区法院判处有期徒刑3年，缓刑5年，并处罚金6000元。

据王某介绍，他是一家某公司安全测试工程师，平素“热爱”黑客技术。2013年8月9日，他在国外web服务器开源组织的官网上Struts2曝出漏洞的信息，随后他编写脚本文件对263邮箱服务器进行扫描。扫描发现，263邮箱服务器存在该漏洞Struts2。利用该漏洞，王某入侵至263邮箱服务器后台，并通过程序批量导出1.6万余家企业邮箱的通讯录。

因非法获取计算机信息系统数据，王某日前被昌平区检察院公诉至昌平区法院后，被判处有期徒刑3年，缓刑5年，并处罚金6000元。

王某在法庭上辩解称，“厂商安全意识不足，要不是我最终利用这个漏洞进入到后台系统，厂商可能还意识不到这能带来多大的危害。”

据了解，Struts2漏洞在2013年7月就曝出。虽然，360等安全厂商及时发布了预警通知和防护方法。但很多互联网公司对该漏洞并未重视起来，既未更新Apache官方补丁，也未进行相应防御，由此导致王某轻松入侵263邮箱服务器。

据“2014上半年中国网站安全简报”显示，今年上半年国内共发现705万个网站漏洞，其中，Struts2也再次爆出新漏洞。

由网站漏洞而引发的泄露事件频频曝出，各大知名互联网公司都未能避免，广大网民更是深受其害。今年杭州某快递网站泄露1400万用户信息，就是因网站漏洞导致。

为帮网站解决漏洞修复难、修复慢的问题，360近日推出了主机卫士产品，它能自动给网站系统打补丁，及时修复网站漏洞。此外，广大网站和互联网服务商也可以开通免费的360网站卫士，可以有效防范漏洞入侵和黑客攻击。