压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　恰逢春運前，鐵道部12306網站“13萬用戶數據泄露”“快去改密碼！”“32G用戶數據庫下載”瞬間刷爆了網絡。一時間很多猜測，很多言論，很多“謠言”，很多“真相”……它們充斥著我們的視線。

　　莫讓迷霧遮望眼——作為一個信息安全從業者和技術人，是時候冷靜的坐下來看看究竟發生了點什么了。

　　起因

　　熱點事件傳播的開端可能都大同小異了，無非是微博，QQ或是其他社交渠道發現了一則“12306用戶數據泄露”的消息。一開始你只是在“互聯網的那些事”等營銷微博號上看到，接下來發現門戶的官微轉發了，再后來人民日報發了！最后，央視居然TMD也報道了！年末這么多媒體不可能一起來炒作忽悠大眾吧！網民們的第一反映——這絕對是大事件！12306被入侵了，數據庫被黑客泄露了……

　　隨之而來的是，好事者和技術宅開始了搜索之旅，各種離線文件各種云盤各種存儲渠道的鏈接向你襲來，于是你機智的下載了……伴隨著間歇性轉發，此時高傲的你面對著四處求種的人們還帶著一絲優越感——哼，哥早就有了！

　　下載下來一看，我們得到的不是傳說中的22G，18G，32G或37G?。ㄒ源笮順擞洈祿菜埔彩菑南螺d動作片開始…已經越來越像炒作了?。┒覀兛吹降氖?4M，約13萬的用戶數據。就像這樣：

　　看到這里，只是個起因而已，是的沒錯，大多數人都做到了這一步，如果這個你都沒做到的話，恩，只能說看熱鬧不怕事兒大，你連熱鬧都沒認真看??！

　　升溫

　　熱點事件就是這樣，要么不溫不火，要么火到源頭都控制不了局面。很多人開始在這14M的數據里開始挖掘了，有很多人開始在數據里查詢自己活朋友的信息了，無論是否處于好意，但是這個時候你就會發現，數據沒有想象中那么齊全：

　　然后，更多的人選擇了繼續尋找全的數據，這個時候，你就想著了魔或者是強迫癥患者一樣開始瘋狂的尋找，你開始重新關注22G，32G…

　　那么好吧，很多人開始消耗那些在我國實屬不便宜的寬帶費用，甚至第一次開啟了下載軟件的VIP會員，就是不能淪為人后，這是一個數據的時代！大數據的時代，什么數據價值還能大過12306嗎？

　　筆者也不能免俗，但是總有不詳的預感，整個事件發展到這里，跟一些桃色事件、XX門太像了！果不其然，在2014的這個圣誕節，我等屌絲們再次懷著無比激動的心情，打開下載文件，再次重溫了兒時經典《葫蘆娃》！

　　失控

　　當人們還在沉醉于朋友圈轉發和找種子的激情時，一些明眼人或著保持理智的人開始意識到——被央視轉發的新聞就是真事嗎？新聞的源頭會不會有問題？12306真被黑了？

　　于是12306第三方網站被黑的論調出現，分銷商和分銷網點數據泄露似乎是個不錯的解釋，可能性也極大。但是此刻立即有陰謀論者跳出來說：這是托詞，是推諉，是12306在找臨時工頂包！

　　另一種在我看來比較理智的是“撞庫”說，我們隨機抽出所謂“泄露數據庫”中的100條數據，將他們的密碼提取出來，然后嘗試登錄12306，你會發現：“花擦！居然都能用呢！”。

　　FreeBuf小科普：什么是“撞庫”

　　少量數據驗證正確并不能代表這些數據就是12306網站流出的，而很有可能是黑客們將一些已經泄露的數據庫（比如多年前的CSDN）很好的貫徹了數據整理的思想，通過12306進行了驗證（俗稱洗白）把能夠成功登陸的賬號密碼匯總，并且將登陸后拿到的身份證信息，電話信息和姓名信息一并匯總，也就是俗稱的“撞庫”。

　　那么這樣費勁撞庫得來的數據，為什么會泄露出來呢？以下是一些猜想：

　　1、沒有買賣就沒有殺害，數據被買賣，貨賣多家導致擴散開來

　　2、多方聯合的炒作事件——懂的人騙不懂的。然而炒作都是有利益關系的，這大家自己YY下就好了

　　3、自我“逼格”的提升，干了這么“驚天動地的”事情人，想低調都覺得對不起自己

　　… …

　　好吧，這些暫且不說了，至此12306事件與跟當年被翻炒了多少遍的冷飯“開房數據泄露”如出一轍，卻徹底被炒火了甚至失控了。有些小伙伴也是相當有才，分分鐘連專用的查詢社工庫都出現了，我只能說你太機智了，手速也真是快啊：

　　高潮

　　當門戶、“業內人士”“專家”聯手將12306話題推向高潮的時候（據說專家們還要把2014稱為漏洞之年）……一群人坐不住了，他們急于證明黑客不只能做“撞庫”這種毫無技術含量的事！

　　于是“安全圈”流出了很多的截圖，說12306的服務器已經被入侵了，甚至給出了截圖的證明：

　　重磅炸彈，貌似一瞬間推翻了之前證據確鑿的“撞庫”論，恩，這次事件開始有意思了，高潮來了一浪又一浪！這個時候，甚至有人將12306服務器的控制權限（webshell和連接密碼）都丟出來了，也就是說，誰都可以直接使用12306服務器的控制權限。

　　終于可以聊聊漏洞了

　　是啊，真正事件的過程中，信息量太大了，事件源本身似乎也并非漏洞？都來不及去看看技術相關的東西了

　　好了，我們先來看看網上公布的入侵證據：

　　這一張和第一張重磅炸彈一樣，黑客使用struts漏洞（曾于2013年爆發）拿到了服務器控制權限，原圖還不打馬賽克，把包含漏洞網站域名清晰的展現給大家，仿佛就是說“歡迎來搞！”

　　所以，一旦你看到截圖，聯想到這個漏洞，那么想測試這個漏洞實在是太簡單了，所以一大波入侵者和好事者正在來襲，比如這樣：

　　漏洞危害我就不說了，一目了然，但是漏洞畢竟不是不重要，安全也絕對不是嚇唬大眾，該有節操還是要有，說到這里，到底如何，旁觀者心中明白，搞技術的這個時候一定不能添油加醋…

　　都說是“撞庫”，但12306真有漏洞

　　有幾個值得我們思考的地方，就是真正入侵12306服務器或者說發現這些漏洞的人究竟在什么時候就開始了呢？Struts2漏洞爆發也是long long ago了，并且該漏洞在2013年集中地爆發過。當時狀況慘不忍睹，各種知名、大型網站紛紛落馬。

　　但為什么當時沒有人說12306被黑了呢？或者說那個時候12306奇跡般的存活了下來？

　　那么可能性就只有三種了：

　　1、12306在struts2漏洞爆發的時候，已經被人入侵，只是一直潛伏，這次事件太熱，才浮出水面

　　2、當時struts2漏洞爆發的時候，漏洞被批量利用，但是12306官網并不存在該漏洞，或者說當時大家沒有發現12306的子域名和子站（這次6~7存在struts2漏洞的均為12306的子站）。所以得以幸免。

　　3、都是中國人，年年春運都實屬不易，沒有人忍心干掉12306（這一條可以忽略，但我要傳播正能量！）

　　第一種可能性上文我們詳細闡述過了，至于第二種，我覺得，那這次漏洞被發現可能是因為很多輔助的原因，因為當struts2漏洞爆發的時候，大家尋找存在漏洞的目標去利用一般使用google的語法，所以很可能那個時候真沒找到12306這些存在漏洞的分站。

　　服務器是入侵了，但數據呢？

　　事情理到這里也差不多了，但是大家有沒有發現，這些入侵截圖都沒有連接數據庫的截圖，也就是說是不是這些分站都沒有12306數據，與此次泄露毫無關聯？

　　雖說攻擊者可以利用struts2漏洞入侵服務器，獲取最高權限，但即使最高權限你也不能獲取到服務器上本就沒有的東西……

　　所以筆者判斷，最初的14M 13萬數據還是一次“撞庫”的成果總結，這也就能解釋為什么數據中的密碼全是明文了。

　　結語

　　對12306來說，漏洞什么時候都該修補，漏洞爆發時要補，不管別人能不能找到你，不要存在僥幸心理，漏洞爆發的風頭過去后產品才上線也要補，壞人總在角落盯著或等著你。

　　而筆者認為，信息安全從業者做的是讓大家了解事件的危害，警覺起來，提高意識，幾時修改密碼什么的，而不是一味的嚇唬大眾來炒熱整個行業，嚇唬得到的是恐懼，而不是尊敬。

　　對大眾而言，立即修改你的密碼（買票了的話），沒買票的，直接刪除所有人名和身份證信息吧。春運在即，實屬不易。另外，從今天起，你可以也需要關注信息安全了。