在團(tuán)購網(wǎng)站漏洞中，SQL注入漏洞是目前影響最大的漏洞之一。利用該漏洞，黑客可能讀取網(wǎng)站數(shù)據(jù)庫，獲得注冊用戶的帳號和密碼。此前有微博傳言稱，國內(nèi)某團(tuán)購網(wǎng)站用戶數(shù)據(jù)庫被黑客"刷庫"。由于19.4%的團(tuán)購網(wǎng)站存在SQL注入漏洞，這種風(fēng)險確實(shí)存在。

由于網(wǎng)站漏洞的觸發(fā)需要特定的場景，在黑客針對網(wǎng)站的實(shí)際攻擊行為中，通常會組合利用多種不同類型的漏洞，包括運(yùn)用社會工程學(xué)手段、弱口令破解等方式，達(dá)到其入侵和滲透目的。

比如高危級別的"SQL注入漏洞"和警告級別的"本地路徑暴露"，如果有網(wǎng)站同時存在這兩個漏洞，黑客就有可能在網(wǎng)站服務(wù)器上運(yùn)行腳本后門程序，隨意篡改網(wǎng)站內(nèi)容；如果服務(wù)器操作系統(tǒng)又存在本地提權(quán)漏洞，黑客又可以利用漏洞使腳本后門獲得系統(tǒng)最高權(quán)限，這意味著網(wǎng)站服務(wù)器的硬盤也可能被黑客格式化。

下文將以漏洞影響為依據(jù)，分析哪些具體的團(tuán)購業(yè)務(wù)可能受到網(wǎng)站漏洞的威脅。

用戶密碼和消費(fèi)憑據(jù)泄露

在團(tuán)購網(wǎng)站漏洞中，SQL注入漏洞是目前影響最大的漏洞之一。利用該漏洞，黑客可能讀取網(wǎng)站數(shù)據(jù)庫，獲得注冊用戶的帳號和密碼。此前有微博傳言稱，國內(nèi)某團(tuán)購網(wǎng)站用戶數(shù)據(jù)庫被黑客"刷庫"。由于19.4%的團(tuán)購網(wǎng)站存在SQL注入漏洞，這種風(fēng)險確實(shí)存在。

更為嚴(yán)重的是，團(tuán)購網(wǎng)站的帳號和密碼通常是網(wǎng)民的常用郵箱和密碼。這類用戶數(shù)據(jù)如果泄露，很可能被黑客利用在網(wǎng)上支付平臺進(jìn)行試探，如果恰好有人在網(wǎng)上支付平臺和團(tuán)購網(wǎng)站使用了相同的注冊郵箱和密碼，網(wǎng)上支付賬戶的余額就會被黑客盜取。

因此對于團(tuán)購網(wǎng)站來說，不僅需要修復(fù)網(wǎng)站漏洞，還應(yīng)對重要的用戶數(shù)據(jù)進(jìn)行加密處理，降低用戶蒙受損失的風(fēng)險；對網(wǎng)民來說，則應(yīng)避免使用同一套帳號密碼，而是要按照帳號重要程度對密碼進(jìn)行分級管理。

另一項(xiàng)不容忽視的風(fēng)險是，有些網(wǎng)站漏洞一旦被黑客利用，可使黑客登錄他人的團(tuán)購帳號，例如團(tuán)購程序漏洞、跨站腳本漏洞、CRLF注入HTTP響應(yīng)拆分漏洞等。我們知道，團(tuán)購商品包括許多本地化的消費(fèi)，例如餐飲、電影票等，只需憑團(tuán)購券號即可消費(fèi)，這些消費(fèi)憑據(jù)泄露的可能性也同樣存在。

團(tuán)購內(nèi)容被篡改

在熱衷于攻擊網(wǎng)站的黑客群體中，部分黑客習(xí)慣篡改網(wǎng)頁，留下入侵標(biāo)識進(jìn)行炫耀。在搜索引擎搜索hacked by，僅中文網(wǎng)頁的搜索結(jié)果就有數(shù)十萬條。

對于團(tuán)購網(wǎng)站來說，如果網(wǎng)頁被黑客篡改，其結(jié)果將嚴(yán)重影響用戶對交易安全的信任感，造成客戶流失；此外，團(tuán)購網(wǎng)站頁面內(nèi)容和業(yè)務(wù)關(guān)聯(lián)緊密，如果商品頁面信息、甚至商品價格被他人惡意篡改，比如價值100元的商品被黑客惡作劇式修改為1元，可想而知將會造成巨大的經(jīng)濟(jì)損失。

在不同類型網(wǎng)站漏洞中，黑客利用SQL注入漏洞、團(tuán)購程序漏洞、目錄的寫權(quán)限啟用、PUT方法啟用等多種漏洞或不同漏洞的組合攻擊，都可能造成團(tuán)購網(wǎng)站內(nèi)容被篡改的后果。

團(tuán)購網(wǎng)站被利用釣魚或被惡意控制

在利用團(tuán)購網(wǎng)站漏洞的釣魚攻擊中，跨站腳本漏洞和CRLF注入HTTP響應(yīng)拆分漏洞非常典型。舉例說明：某天你在泡論壇，看到有篇帖子推薦了一款團(tuán)購商品，價格令人動心，而且網(wǎng)址域名是你熟悉的一家團(tuán)購網(wǎng)站。當(dāng)你點(diǎn)擊鏈接打開網(wǎng)頁，網(wǎng)頁表面看起來也和你熟悉的那家團(tuán)購網(wǎng)站一模一樣。請注意，這時頁面可能已經(jīng)執(zhí)行了惡意腳本，在你面前打開的是黑客仿冒構(gòu)造的一個釣魚頁面（跨站腳本漏洞）；或者，網(wǎng)址悄然重定向跳轉(zhuǎn)到釣魚網(wǎng)站上，讓你不知不覺間就從A網(wǎng)站來到黑客的B網(wǎng)站（CRLF注入HTTP響應(yīng)拆分漏洞）。

如果通過此類釣魚頁面進(jìn)行支付交易，交易資金很可能被黑客劫持，甚至網(wǎng)銀、網(wǎng)上支付的賬戶密碼也被黑客竊取。

另外，曾有技術(shù)人員曝光稱，某團(tuán)購網(wǎng)站的VIP會員活動、砸金蛋活動，甚至賬戶余額充值多次出現(xiàn)程序的用戶交互漏洞，可以繞過權(quán)限驗(yàn)證隨意領(lǐng)紅包、無限砸金蛋和充值。與此相比，黑客利用網(wǎng)站漏洞實(shí)施滲透控制的后果更為嚴(yán)重。

例如，當(dāng)團(tuán)購網(wǎng)站服務(wù)器被黑客利用漏洞植入腳本后門，黑客可獲得控制網(wǎng)站的權(quán)限，更進(jìn)一步還可獲得網(wǎng)站服務(wù)器系統(tǒng)的高級權(quán)限。這意味著，團(tuán)購網(wǎng)站的各種交易、活動均可能被他人暗中操縱，而不僅僅是領(lǐng)紅包、砸金蛋或賬戶充值，團(tuán)購網(wǎng)站的所有資料、數(shù)據(jù)也可能被隨時摧毀。

　　推薦閱讀

　　百度“激進(jìn)開放” “被逼”發(fā)力移動互聯(lián)網(wǎng)

“無論是百度數(shù)據(jù)開放平臺的‘即搜即得’，還是應(yīng)用開放平臺的‘即搜即用’，以及新百度>>>詳細(xì)閱讀

本文標(biāo)題：團(tuán)購網(wǎng)站漏洞泄露用戶密碼和消費(fèi)憑據(jù) 被惡意控制

地址：http://m.sdlzkt.com/a/guandian/yejie/20111230/181270.html

 1/2    1  2 下一頁