你的位置:首頁 > 測試測量 > 正文

網(wǎng)絡安全技術(shù)解析:12306網(wǎng)站用戶資料泄露背后的秘密

發(fā)布時間:2014-12-29 責任編輯:echolady

【導讀】12306網(wǎng)站突然爆發(fā)13萬用戶資料泄露事件,究其根本原因在于網(wǎng)站上線后出現(xiàn)的系統(tǒng)崩潰、卡死、頁面無響應等網(wǎng)絡技術(shù)問題。正值2015年春運搶票之際,12306網(wǎng)站卻爆出這種網(wǎng)絡安全技術(shù)問題,這背后隱藏著什么秘密呢?

網(wǎng)絡安全技術(shù)解析:12306網(wǎng)站用戶資料泄露背后的秘密
 
數(shù)據(jù)如何泄露?

瑞星公司針對12306網(wǎng)站約13萬用戶關(guān)鍵隱私信息被泄露事件進行調(diào)查后發(fā)現(xiàn),12306網(wǎng)站主域名下共有6個分站存在嚴重的Strust2框架的遠程執(zhí)行漏洞,黑客可利用該漏洞控制分站服務器,進而攻擊整個12306網(wǎng)站,并竊取所有數(shù)據(jù)庫中的信息。因此,本次信息泄露事件有可能還會繼續(xù)升溫發(fā)酵。

專家介紹,12306網(wǎng)站主域名下,共6個分站存在Strust2框架的遠程執(zhí)行漏洞,黑客可使用專業(yè)工具直接對網(wǎng)站進行攻擊,遙控網(wǎng)站服務器下載惡意文件,獲取最高控制權(quán)限,進行跳板攻擊,進而對12306整個網(wǎng)站進行入侵,從而獲取所有數(shù)據(jù)庫中的信息。

針對此次的12306用戶信息泄露問題,有白帽子專家分析認為,數(shù)據(jù)疑似黑客撞庫后整理得到,而并非12306直接泄漏,請用戶及時修改密碼,同時慎用搶票工具。

所謂“撞庫”,是一種針對數(shù)據(jù)庫的攻擊方式,通過攻擊者所擁有數(shù)據(jù)庫的數(shù)據(jù)通攻擊目標數(shù)據(jù)庫,可以理解為使用在A網(wǎng)站盜取的賬戶密碼來登陸B(tài)網(wǎng)站,因為很多用戶在不同網(wǎng)站使用的是相同的賬號密碼。

再打個比方,就是你從大樓保安那里復制了一大串鑰匙,然后跑到隔壁同一家建筑公司、同一批設計人員造的樓里,一把把試著去開不同的門。

最近還有個“拖庫”經(jīng)常出現(xiàn),它是指從數(shù)據(jù)庫中直接導出數(shù)據(jù),更加嚴重,因為這意味著數(shù)據(jù)庫本身存在很大的漏洞。

也有人懷疑是第三方搶票軟件泄露所致,目前還沒有證據(jù)可以證明,但無論如何,搶票的心情可以理解,但一定要注意保護自己的安全,并強烈建議12306用戶更改密碼,最好是和其他網(wǎng)站不同的密碼。

因為,這些數(shù)據(jù)已經(jīng)在網(wǎng)上公然叫賣了,如果被黃牛拿到,把我們辛辛苦苦訂的票退掉倒騰給別人,豈不是太郁悶了!

雖然知道了密碼可能的泄露方式,但是我們都有一個巨大的疑問。對每個用戶來說至關(guān)重要的用戶名和密碼等關(guān)鍵信息,網(wǎng)站為什么會采用明碼保存,難道是技術(shù)屏障?還是另有原因?
[page]
網(wǎng)站為什么明文保存密碼?


1、明文密碼應付檢查。大家知道互聯(lián)網(wǎng)審查,有時往往會一個電話過來,要XX用戶的密碼。如果你沒法給出,上頭就認為你不配合,事情各種難搞。作為審查機構(gòu)的老板,當然沒必要知道明文密碼的危害。他們只知道,我要密碼,為什么不行。所以,悲崔的程序員們就往往會得到一條死命令,保存明文密碼。

2、壓根不知道明文密碼有什么問題。中國的互聯(lián)網(wǎng)有太多的沒基礎的新人,從石頭的縫隙中頑強的生長出來。這不是壞事,壞事的是這些人往往會在一些基礎問題上出現(xiàn)奇怪的毛病。例如有些程序員,寫程序很快,但是居然從來不知道密碼明文存放會導致什么問題。

3、自信暴棚的混帳。有些人的自信總比別人強,而且強在莫名其妙的地方。例如:我的服務器肯定是沒問題的,所以我的密碼一定要明文存放。如果不,就是質(zhì)疑我的技術(shù)。實話說,這種人真是少數(shù)中的少數(shù)。

4、遺留系統(tǒng)。很多系統(tǒng)設計的時候因為某個其他理由,使用了明文密碼。等后來這個理由不存在了,密碼系統(tǒng)升級成了一個困難。因為密碼系統(tǒng)太重要了,所以在沒有太大利益的情況下,總是傾向于不修改系統(tǒng)。但是有什么足夠利益來推動系統(tǒng)修改呢?用戶安全問題在發(fā)現(xiàn)前不是一個問題——好比這次的 CSDN,不是被暴出來的話就根本不會被當作一個問題。系統(tǒng)的管理者,每個人都沒有足夠的動力去修改系統(tǒng)。

5、世界的陰暗角落。有的時候,程序員/老板明文存放的理由,是為了方便盜竊用戶其他網(wǎng)站資料。例如我所知的某釣魚案例,你注冊網(wǎng)站,就提供很多免費服務,網(wǎng)站看起來也很靠譜——除了后來突然爆出這家網(wǎng)站其實暗地中用你的生日/密碼猜解信用卡/銀行卡密碼,大家才突然發(fā)現(xiàn),這家網(wǎng)站其實根本沒有在美國注冊,而是一個聽都沒聽說過的國家。而且很多網(wǎng)站提供從其他網(wǎng)站導入之類的功能,更加的危險。以前經(jīng)常爆出twitter密碼被竊取,主要就是因為OAuth開放以前,twitter上的第三方應用需要提供原生密碼,導致很多小應用的目的其實就是收集密碼…

6、為了給用戶提供方便。這個理由和上一個很類似,不過不是為了某些險惡的目的。而是客戶經(jīng)常要求——為什么我不能做XX事,為什么我不能blahblah。好吧,為了讓你能,我們就必須保存明文密碼。
這個揭秘來源于一個程序員的爆料,不說爆料的可信度是百分之百,至少他所說的內(nèi)容中很多是值得我們思考的。明文保存密碼,既有政策和管理這樣外在的人為原因,同樣也有技術(shù)的問題,更有利益的驅(qū)使??梢娒魑拿艽a的原因背后是錯綜復雜的。在這樣錯綜復雜因素的背后,我們應該加強自己的密碼保護意識。

如何保護自己的密碼安全?

一、增強網(wǎng)絡安全意識


在互聯(lián)網(wǎng)時代,網(wǎng)絡安全意識應該像日常交通安全意識一樣,作為常識被確立。以CSDN為例,作為國內(nèi)權(quán)威的技術(shù)論壇,該社區(qū)的用戶在技術(shù)方面堪稱專業(yè),但流出的CSDN密碼卻顯示,大批用戶使用的竟是“12345678”“11111111”這樣超簡單的密碼。所以我們首先要有一個較強的網(wǎng)絡安全意識。

二、設置較為安全的密碼

安全密碼基本準則:8位以上、密碼采用三種或以上組合。各關(guān)鍵網(wǎng)站密碼不同,防止黑客使用撞庫的方式進行信息盜取。

三、盡量避免使用第三方軟件

由于第三方軟件的安全性不高,所以請謹慎使用離線搶票功能。像離線搶票這樣的第三方服務托管服務,必須明文存密碼,且沒法加密。所以一旦泄露就是明文。

四、經(jīng)常更改密碼


如果發(fā)現(xiàn)密碼被盜,立即更改密碼。同時對于安全性要求比較高的密碼,定時更改密碼也是一個有效的保護信息安全的手段。

針對12306的密碼泄露,針對性的補救方法:

1、立刻修改12306登錄密碼;不過由于新密碼同步到所有服務器需要時間,部分用戶修改密碼后,或不能立刻登錄;
2、盡快修改登錄12306時使用的郵箱密碼,郵箱服務和12306網(wǎng)站服務一定不要使用相同的登錄密碼;
3、由于12306數(shù)據(jù)泄露的數(shù)據(jù)還包含手機號、身份證號,除了自己的信息之外,還會泄露親友的身份信息。建議受信息泄露影響的所有人小心處理可能的詐騙電話和短信。同時,與銀行轉(zhuǎn)帳匯款有關(guān)的業(yè)務,務必電話確認身份;
4、謹慎使用搶票軟件。

網(wǎng)絡給我們的生活帶來了許多的便利,同時我們的網(wǎng)絡生活也面臨著諸多的挑戰(zhàn)。而網(wǎng)絡安全也日益受到網(wǎng)民的關(guān)注,特別是在一次次的爆出信息泄露之后,更加加重了網(wǎng)民的擔心。文章中我們也分析了網(wǎng)站明文保存密碼的錯綜復雜的原因,在我們無法確認網(wǎng)站是否安全的前提下,擁有一個良好的網(wǎng)絡安全意識,謹慎保管好自己的密碼,當發(fā)生問題的時候及時使用正確的方法進行補救是十分有必要的。

相關(guān)閱讀:

面面俱到:全面了解無線通信網(wǎng)絡技術(shù)(上)
面面俱到:全面了解無線通信網(wǎng)絡技術(shù)(下)
基于物聯(lián)網(wǎng)無線智能網(wǎng)絡技術(shù)的燈光控制技術(shù)

要采購工具么,點這里了解一下價格!
特別推薦
技術(shù)文章更多>>
技術(shù)白皮書下載更多>>
熱門搜索
?

關(guān)閉

?

關(guān)閉