百科 > IT百科 > 百科學堂 > 正文

Struts2現高危漏洞 淘寶“拖庫門”已闢謠!詳解拖庫攻擊

  據微博2013年7月22日傳出來的消息,淘寶的資料庫因為Strust2漏洞被拖了,俗稱拖庫。這意味著淘寶的資料庫存在被洩露的風險,一如曾經的CSDN數據洩露,而對於淘寶和支付寶來說,如果傳聞當真,數據洩露造成的損失將無法估量,堪稱互聯網災難日。而淘寶網官方也對此傳聞第一時間迅速地進行了澄清闢謠,表明淘寶未發現受Struts命令執行漏洞影響,截止目前,用戶的數據安全和帳戶數據未見任何異常。目前來看,拖庫的傳聞是謠言的可能性更大,但無論如何,對於類似“拖庫”這樣陌生的專業名詞,什麼是拖庫攻擊,Strusts2高危漏洞又是怎麼一回事?相信很多網友都存在著疑惑,以下為你一一詳解。

拖庫

拖庫

什麼是拖庫?

  拖庫一詞多用於資料庫程式員專業人士使用,但其實語意很簡單,就是從資料庫導出數據,或者可以簡單理解為“下載資料庫”。很多時候資料庫的資料需要導出來在別的地方使用,並且資料庫資料可以導出好幾種格式,例如:TXT,XLS等格式。而到了駭客攻擊氾濫的今天,它也常被用來指網站遭到入侵後,駭客竊取其資料庫。

拖庫

什麼是拖庫攻擊?

  拖庫攻擊通常分為以下步驟:

  首先,駭客對目標網站進行掃描,查找其存在的漏洞,常見漏洞包括SQL注入、文件上傳漏洞、Struts命令執行漏洞等。

  然後,透過該漏洞在網站伺服器上建立“後門(webshell)”,透過該後門穫取伺服器作業系統的權限。

  最後,利用系統權限直接下載備份資料庫,或查找資料庫鏈接,將其導出到本地。

什麼是Strusts2漏洞事件?

  7月17日,Apache Struts2發佈漏洞公告,稱其Struts2 Web應用框架存在一個可以遠端執行任意命令的高危漏洞。並且直接在漏洞公告中將漏洞利用代碼給公佈出來了。這一漏洞的公佈直接導致許多安全公司和互聯網公司安全部門的工程師們都沒睡好覺,通宵達旦的在加班。因為國內的很多銀行、政府機構、幾乎所有的大中型互聯網公司都是使用Struts2框架的。利用Struts2漏洞,最常見會發生的就是網站的數據洩露,駭客可輕易攻陷網站伺服器,對網站的資料庫進行“拖庫”,從而穫取網站註冊用戶的帳號密碼和個人資料等。目前,網路上已出現了一些自動化、傻瓜化的Stuts2漏洞攻擊軟體了。

strust

拖庫存在什麼危害?

  根據資料顯示部分網民習慣為郵箱、微博、游戲、網上支付、購物等帳號設定相同密碼,一旦資料庫被洩漏,所有的用戶資料被公佈於眾,任何人都可以拿著密碼去各個網站去嘗試登錄,對一些敏感的金融行業是致命的危害,對普通用戶可能造成財產,個人隱私的損失或洩漏。2011年末的密碼危機拖庫事件便是典型的例子。

  對於媒體型互聯網站來說,洩漏的是郵箱賬戶和密碼。駭客通常會利用其猜測其它網站的密碼,或者收集郵箱賬戶做成資料庫,賣給垃圾郵件發送者。

  對於有較多個人資訊的SNS社交網站來說,駭客可以利用個人資料去進行網路詐騙、網路釣魚、“QQ借錢詐騙”等。

  對於電商網站,資料庫主要包含了用戶的購買行為、住址、手機號、支付帳號等,駭客可高價販賣用戶行為資料給行業的競爭對手進行網路營銷或者直接進行網路詐騙。

  對於銀行、證券等網站危害更是不可想象,一旦出現安全漏洞,分分鐘就可能是巨大的金額損失。

  所以說,拖庫的危害因人而異,取決於資料庫的價值。

  無論淘寶的資料庫是否有被拖,但Struts2高危漏洞引發的潛在拖庫危害確實存在,對於網友來說,加強自我安全保護意識也是必須的,根據不同的網站設定不同的密碼,一旦發現帳號異常、立即修改密碼,才能將潛在危害減至最小。

網友評論