樂(lè)購(gòu)網(wǎng)訊 4月10日消息,360網(wǎng)站安全檢測(cè)平臺(tái)今日發(fā)布漏洞警報(bào)稱,國(guó)內(nèi)300余家大中型網(wǎng)站由于SVN使用不當(dāng),導(dǎo)致網(wǎng)站存在源代碼泄露隱患。一旦該漏洞被黑客利用,不僅這些網(wǎng)站會(huì)蒙受嚴(yán)重的經(jīng)濟(jì)損失,數(shù)千萬(wàn)網(wǎng)民的帳號(hào)密碼和個(gè)人資料可能也因此被黑客盜取。目前,360已向存在漏洞的網(wǎng)站發(fā)出報(bào)警郵件,并提供修復(fù)方案。
360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址:http://webscan.360.cn
據(jù)介紹,SVN(subversion)是程序員常用的源代碼版本管理軟件。一旦網(wǎng)站出現(xiàn)SVN漏洞,其危害遠(yuǎn)比SQL注入等其它常見(jiàn)網(wǎng)站漏洞更為致命,因?yàn)楹诳瞳@取到網(wǎng)站源代碼后,一方面是掠奪了網(wǎng)站的技術(shù)知識(shí)資產(chǎn),另一方面,黑客還可通過(guò)源代碼分析其它安全漏洞,從而對(duì)網(wǎng)站服務(wù)器及用戶數(shù)據(jù)造成持續(xù)威脅。
圖1:svn及entries文件夾暴露于外網(wǎng)環(huán)境
經(jīng)360安全工程師分析,造成SVN源代碼漏洞的主要原因是管理員操作不規(guī)范。“在使用SVN管理本地代碼過(guò)程中,會(huì)自動(dòng)生成一個(gè)名為.svn的隱藏文件夾,其中包含重要的源代碼信息。但一些網(wǎng)站管理員在發(fā)布代碼時(shí),不愿意使用‘導(dǎo)出’功能,而是直接復(fù)制代碼文件夾到WEB服務(wù)器上,這就使.svn隱藏文件夾被暴露于外網(wǎng)環(huán)境,黑客可以借助其中包含的用于版本信息追蹤的‘entries’文件,逐步摸清站點(diǎn)結(jié)構(gòu)。”
圖2:源代碼文件副本暴露于外網(wǎng)環(huán)境
更嚴(yán)重的問(wèn)題在于,SVN產(chǎn)生的.svn目錄下還包含了以.svn-base結(jié)尾的源代碼文件副本(低版本SVN具體路徑為text-base目錄,高版本SVN為pristine目錄),如果服務(wù)器沒(méi)有對(duì)此類后綴做解析,黑客則可以直接獲得文件源代碼。
鑒于SVN源代碼漏洞存在巨大風(fēng)險(xiǎn),360網(wǎng)站安全檢測(cè)平臺(tái)已第一時(shí)間向存在漏洞的網(wǎng)站發(fā)送了報(bào)警郵件,并提供了修復(fù)建議:
一、立即刪除各級(jí)目錄下的.svn文件夾,并且在今后的svn代碼上線操作中使用其自帶的導(dǎo)出“Export”功能。
二、使用svn1.7及以上版本。
推薦閱讀
周鴻祎:不會(huì)有什么搜索大戰(zhàn)>>>詳細(xì)閱讀
本文標(biāo)題:300余家網(wǎng)站存源代碼泄露風(fēng)險(xiǎn) 360發(fā)送報(bào)警郵件
地址:http://m.sdlzkt.com/a/11/20120414/51009.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示