據(jù)微博2013年7月22日傳出來的消息，淘寶的數(shù)據(jù)庫因?yàn)镾trust2漏洞被拖了，俗稱拖庫。這意味著淘寶的數(shù)據(jù)庫存在被泄露的風(fēng)險，一如曾經(jīng)的CSDN數(shù)據(jù)泄露，而對于淘寶和支付寶來說，如果傳聞當(dāng)真，數(shù)據(jù)泄露造成的損失將無法估量，堪稱互聯(lián)網(wǎng)災(zāi)難日。而淘寶網(wǎng)官方也對此傳聞第一時間迅速地進(jìn)行了澄清辟謠，表明淘寶未發(fā)現(xiàn)受Struts命令執(zhí)行漏洞影響，截止目前，用戶的數(shù)據(jù)安全和帳戶數(shù)據(jù)未見任何異常。目前來看，拖庫的傳聞是謠言的可能性更大，但無論如何，對于類似“拖庫”這樣陌生的專業(yè)名詞，什么是拖庫攻擊，Strusts2高危漏洞又是怎么一回事?相信很多網(wǎng)友都存在著疑惑，以下為你一一詳解。

什么是拖庫?

拖庫一詞多用于數(shù)據(jù)庫程序員專業(yè)人士使用，但其實(shí)語意很簡單，就是從數(shù)據(jù)庫導(dǎo)出數(shù)據(jù)，或者可以簡單理解為“下載數(shù)據(jù)庫”。很多時候數(shù)據(jù)庫的資料需要導(dǎo)出來在別的地方使用，并且數(shù)據(jù)庫資料可以導(dǎo)出好幾種格式，例如：TXT，XLS等格式。而到了黑客攻擊泛濫的今天，它也常被用來指網(wǎng)站遭到入侵后，黑客竊取其數(shù)據(jù)庫。

(資料圖片)

什么是拖庫攻擊?

拖庫攻擊通常分為以下步驟：

首先，黑客對目標(biāo)網(wǎng)站進(jìn)行掃描，查找其存在的漏洞，常見漏洞包括SQL注入、文件上傳漏洞、Struts命令執(zhí)行漏洞等。

然后，通過該漏洞在網(wǎng)站服務(wù)器上建立“后門(webshell)”，通過該后門獲取服務(wù)器操作系統(tǒng)的權(quán)限。

最后，利用系統(tǒng)權(quán)限直接下載備份數(shù)據(jù)庫，或查找數(shù)據(jù)庫鏈接，將其導(dǎo)出到本地。

什么是Strusts2漏洞事件?

7月17日，Apache Struts2發(fā)布漏洞公告，稱其Struts2 Web應(yīng)用框架存在一個可以遠(yuǎn)程執(zhí)行任意命令的高危漏洞。并且直接在漏洞公告中將漏洞利用代碼給公布出來了。這一漏洞的公布直接導(dǎo)致許多安全公司和互聯(lián)網(wǎng)公司安全部門的工程師們都沒睡好覺，通宵達(dá)旦的在加班。因?yàn)閲鴥?nèi)的很多銀行、政府機(jī)構(gòu)、幾乎所有的大中型互聯(lián)網(wǎng)公司都是使用Struts2框架的。利用Struts2漏洞，最常見會發(fā)生的就是網(wǎng)站的數(shù)據(jù)泄露，黑客可輕易攻陷網(wǎng)站服務(wù)器，對網(wǎng)站的數(shù)據(jù)庫進(jìn)行“拖庫”，從而獲取網(wǎng)站注冊用戶的帳號密碼和個人資料等。目前，網(wǎng)絡(luò)上已出現(xiàn)了一些自動化、傻瓜化的Stuts2漏洞攻擊軟件了。

拖庫存在什么危害?

根據(jù)資料顯示部分網(wǎng)民習(xí)慣為郵箱、微博、游戲、網(wǎng)上支付、購物等帳號設(shè)置相同密碼，一旦數(shù)據(jù)庫被泄漏，所有的用戶資料被公布于眾，任何人都可以拿著密碼去各個網(wǎng)站去嘗試登錄，對一些敏感的金融行業(yè)是致命的危害，對普通用戶可能造成財產(chǎn)，個人隱私的損失或泄漏。2011年末的密碼危機(jī)拖庫事件便是典型的例子。

對于媒體型互聯(lián)網(wǎng)站來說，泄漏的是郵箱賬戶和密碼。黑客通常會利用其猜測其它網(wǎng)站的密碼，或者收集郵箱賬戶做成數(shù)據(jù)庫，賣給垃圾郵件發(fā)送者。

對于有較多個人信息的SNS社交網(wǎng)站來說，黑客可以利用個人資料去進(jìn)行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)釣魚、“QQ借錢詐騙”等。

對于電商網(wǎng)站，數(shù)據(jù)庫主要包含了用戶的購買行為、住址、手機(jī)號、支付帳號等，黑客可高價販賣用戶行為資料給行業(yè)的競爭對手進(jìn)行網(wǎng)絡(luò)營銷或者直接進(jìn)行網(wǎng)絡(luò)詐騙。

對于銀行、證券等網(wǎng)站危害更是不可想象，一旦出現(xiàn)安全漏洞，分分鐘就可能是巨大的金額損失。

所以說，拖庫的危害因人而異，取決于數(shù)據(jù)庫的價值。

無論淘寶的數(shù)據(jù)庫是否有被拖，但Struts2高危漏洞引發(fā)的潛在拖庫危害確實(shí)存在，對于網(wǎng)友來說，加強(qiáng)自我安全保護(hù)意識也是必須的，根據(jù)不同的網(wǎng)站設(shè)置不同的密碼，一旦發(fā)現(xiàn)帳號異常、立即更改密碼，才能將潛在危害減至最小。