據(jù)微博2013年7月22日傳出來的消息，淘寶的數(shù)據(jù)庫因?yàn)镾trust2漏洞被拖了，俗稱拖庫。這意味著淘寶的數(shù)據(jù)庫存在被泄露的風(fēng)險(xiǎn)，一如曾經(jīng)的CSDN數(shù)據(jù)泄露，而對(duì)于淘寶和支付寶來說，如果傳聞當(dāng)真，數(shù)據(jù)泄露造成的損失將無法估量，堪稱互聯(lián)網(wǎng)災(zāi)難日。而淘寶網(wǎng)官方也對(duì)此傳聞第一時(shí)間迅速地進(jìn)行了澄清辟謠，表明淘寶未發(fā)現(xiàn)受Struts命令執(zhí)行漏洞影響，截止目前，用戶的數(shù)據(jù)安全和帳戶數(shù)據(jù)未見任何異常。目前來看，拖庫的傳聞是謠言的可能性更大，但無論如何，對(duì)于類似“拖庫”這樣陌生的專業(yè)名詞，什么是拖庫攻擊，Strusts2高危漏洞又是怎么一回事?相信很多網(wǎng)友都存在著疑惑，以下為你一一詳解。

什么是拖庫?

拖庫一詞多用于數(shù)據(jù)庫程序員專業(yè)人士使用，但其實(shí)語意很簡(jiǎn)單，就是從數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)，或者可以簡(jiǎn)單理解為“下載數(shù)據(jù)庫”。很多時(shí)候數(shù)據(jù)庫的資料需要導(dǎo)出來在別的地方使用，并且數(shù)據(jù)庫資料可以導(dǎo)出好幾種格式，例如：TXT，XLS等格式。而到了黑客攻擊泛濫的今天，它也常被用來指網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫。

(資料圖片)

什么是拖庫攻擊?

拖庫攻擊通常分為以下步驟：

首先，黑客對(duì)目標(biāo)網(wǎng)站進(jìn)行掃描，查找其存在的漏洞，常見漏洞包括SQL注入、文件上傳漏洞、Struts命令執(zhí)行漏洞等。

然后，通過該漏洞在網(wǎng)站服務(wù)器上建立“后門(webshell)”，通過該后門獲取服務(wù)器操作系統(tǒng)的權(quán)限。

最后，利用系統(tǒng)權(quán)限直接下載備份數(shù)據(jù)庫，或查找數(shù)據(jù)庫鏈接，將其導(dǎo)出到本地。

什么是Strusts2漏洞事件?

7月17日，Apache Struts2發(fā)布漏洞公告，稱其Struts2 Web應(yīng)用框架存在一個(gè)可以遠(yuǎn)程執(zhí)行任意命令的高危漏洞。并且直接在漏洞公告中將漏洞利用代碼給公布出來了。這一漏洞的公布直接導(dǎo)致許多安全公司和互聯(lián)網(wǎng)公司安全部門的工程師們都沒睡好覺，通宵達(dá)旦的在加班。因?yàn)閲?guó)內(nèi)的很多銀行、政府機(jī)構(gòu)、幾乎所有的大中型互聯(lián)網(wǎng)公司都是使用Struts2框架的。利用Struts2漏洞，最常見會(huì)發(fā)生的就是網(wǎng)站的數(shù)據(jù)泄露，黑客可輕易攻陷網(wǎng)站服務(wù)器，對(duì)網(wǎng)站的數(shù)據(jù)庫進(jìn)行“拖庫”，從而獲取網(wǎng)站注冊(cè)用戶的帳號(hào)密碼和個(gè)人資料等。目前，網(wǎng)絡(luò)上已出現(xiàn)了一些自動(dòng)化、傻瓜化的Stuts2漏洞攻擊軟件了。

拖庫存在什么危害?

根據(jù)資料顯示部分網(wǎng)民習(xí)慣為郵箱、微博、游戲、網(wǎng)上支付、購(gòu)物等帳號(hào)設(shè)置相同密碼，一旦數(shù)據(jù)庫被泄漏，所有的用戶資料被公布于眾，任何人都可以拿著密碼去各個(gè)網(wǎng)站去嘗試登錄，對(duì)一些敏感的金融行業(yè)是致命的危害，對(duì)普通用戶可能造成財(cái)產(chǎn)，個(gè)人隱私的損失或泄漏。2011年末的密碼危機(jī)拖庫事件便是典型的例子。

對(duì)于媒體型互聯(lián)網(wǎng)站來說，泄漏的是郵箱賬戶和密碼。黑客通常會(huì)利用其猜測(cè)其它網(wǎng)站的密碼，或者收集郵箱賬戶做成數(shù)據(jù)庫，賣給垃圾郵件發(fā)送者。

對(duì)于有較多個(gè)人信息的SNS社交網(wǎng)站來說，黑客可以利用個(gè)人資料去進(jìn)行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)釣魚、“QQ借錢詐騙”等。

對(duì)于電商網(wǎng)站，數(shù)據(jù)庫主要包含了用戶的購(gòu)買行為、住址、手機(jī)號(hào)、支付帳號(hào)等，黑客可高價(jià)販賣用戶行為資料給行業(yè)的競(jìng)爭(zhēng)對(duì)手進(jìn)行網(wǎng)絡(luò)營(yíng)銷或者直接進(jìn)行網(wǎng)絡(luò)詐騙。

對(duì)于銀行、證券等網(wǎng)站危害更是不可想象，一旦出現(xiàn)安全漏洞，分分鐘就可能是巨大的金額損失。

所以說，拖庫的危害因人而異，取決于數(shù)據(jù)庫的價(jià)值。

無論淘寶的數(shù)據(jù)庫是否有被拖，但Struts2高危漏洞引發(fā)的潛在拖庫危害確實(shí)存在，對(duì)于網(wǎng)友來說，加強(qiáng)自我安全保護(hù)意識(shí)也是必須的，根據(jù)不同的網(wǎng)站設(shè)置不同的密碼，一旦發(fā)現(xiàn)帳號(hào)異常、立即更改密碼，才能將潛在危害減至最小。