Author: janes(知道创宇404实验室) Date: 2017-03-15

背景介绍

Struts2官方于北京时间2017年3月6号晚上10点公布Struts2存在远程代码执行的漏洞（漏洞编号S2-045，CVE编号：CVE-2017-5638），并定级为高危漏洞。由于该漏洞影响范围广（Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10），漏洞危害程度严重，可直接获取应用系统所在服务器的控制权限，并且3月7日早上互联网上就流出了该漏洞的PoC和Exp,因此，S2-045漏洞在互联网上的影响迅速扩大，受到了互联网公司和政府的高度重视。距漏洞公布到现在(3.6-3.15)已经一周多了，于是借此机会分析下S2-045在社交媒介Twitter和新浪微博上的热度分布情况。

数据获取

既然要分析Twitter和新浪微博上S2-045漏洞的热度分布情况，那么就需要获取Twiiter和新浪微博上的数据，用数据说话。于是就使用“selenium+phantomjs”去爬取数据，通过Twitter和新浪微博web页面的搜索接口，分别搜索关键词“s2-045”和“CVE-2017-5638”，然后将搜索结果去重并整理，考虑到Twitter和新浪微博时间显示的时区不一致问题，采用统一抓取页面时间戳然后转化为北京时间的方式统一时区问题，爬取数据的时间为2017年3月14日下午18时，结果如下图所示。

• Twitter

• 新浪微博

热度分析

统计每天S2-045漏洞在Twitter和新浪微博上出现的次数，得到下面的表格，Twitter中共出现 73 次，新浪微博中共出现 45 次。就传播的数据量来说，S2-045漏洞的数据量并不大，这从侧面反映了安全漏洞方面的信息并没受到广大人民群众的关注，主要还是在安全圈内传播。

利用上述表格的数据，制作图形，得到如上热度分布图，从图中可以看出：

• 3月6日才公布的S2-045漏洞，3月7日就在Twitter和新浪微博上发生了爆发式传播，这很可能是和漏洞的PoC和Exp在3月7日就在互联网上广泛流传开了有关;
• 新浪微博中S2-045漏洞热度分布整体呈下降状态，高峰期在3月7日，而Twitter整体呈起伏趋势，3月7日，3月10日和3月13日均出现高峰；
• 新浪微博和Twitter两者的整体势并不相同，而且在3月7日，新浪微博和Twitter都出现数据的最高峰，但新浪微博的数据量比Twitter要高。

可能有以下几个原因可以解释这种现象：

• S2-045漏洞是中国人发现的，3月6日晚间官方公布漏洞后，3月7日上午漏洞的PoC和Exp就在国内互联网上流出，受到国内安全公司的广泛关注，这也就能解释3月7日新浪微博的数据量超过Twitter的现象了；
• 由于S2-045漏洞危害严重，并且迅速就流传出了PoC和Exp，因此，3月7日，国内安全公司就快速开始了应急响应，其他互联网公司也在自查和修补S2-045漏洞，随着漏洞的修复，新浪微博上的关注自然就减少了，整体也就呈现下降趋势；
• Twitter用户分布范围广，各国家或地区受S2-045的影响不同，因此呈现的趋势出现起伏。

3月7日，新浪微博和Twitter都出现数据高峰，于是将3月7日的数据，按时段分布制图如下，可以看出，上午8时前，新浪微博和Twitter数据量都为0，8时到10时期间才开始出现，似乎和工作时间比较符合，而数据的高峰期主要出现在下午14时到18时之间，这或许是因为PoC和Exp在互联网上广泛传开，导致互联网开始受到大规模攻击(参考 HackerNews Struts2 漏洞公开 24 小时)。

最后看看Twitter和新浪微博上关于S2-045漏洞的第一条消息是什么时间由谁发出的，结果见下表。Twitter和新浪微博上发出第一条消息的并不是同一个人，但发送的时间相差并不多，可见国内外对漏洞的感知能力是比较相当的。

同上，时间均为北京时间，根据unix时间戳转化而来。

总结

本文就s2-045在社交媒介Twitter和新浪微博上的传播趋势，做了一些分析，比较了Twitter和微博上数据分布趋势的异同，并分析了这些差异背后可能的原因，当然，分析还存在一些方面的不足，例如数据内容没做漏洞报道和攻击报道的区分，分析粒度还不够细腻等等。文中的分析，如有错误，欢迎大家批评指正。

参考

• https://cwiki.apache.org/confluence/display/WW/S2-045
• http://hackernews.cc/archives/7371
• https://www.seebug.org/vuldb/ssvid-92746