亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　恰逢春運(yùn)前，鐵道部12306網(wǎng)站“13萬(wàn)用戶數(shù)據(jù)泄露”“快去改密碼！”“32G用戶數(shù)據(jù)庫(kù)下載”瞬間刷爆了網(wǎng)絡(luò)。一時(shí)間很多猜測(cè)，很多言論，很多“謠言”，很多“真相”……它們充斥著我們的視線。

　　莫讓迷霧遮望眼——作為一個(gè)信息安全從業(yè)者和技術(shù)人，是時(shí)候冷靜的坐下來看看究竟發(fā)生了點(diǎn)什么了。

　　起因

　　熱點(diǎn)事件傳播的開端可能都大同小異了，無非是微博，QQ或是其他社交渠道發(fā)現(xiàn)了一則“12306用戶數(shù)據(jù)泄露”的消息。一開始你只是在“互聯(lián)網(wǎng)的那些事”等營(yíng)銷微博號(hào)上看到，接下來發(fā)現(xiàn)門戶的官微轉(zhuǎn)發(fā)了，再后來人民日?qǐng)?bào)發(fā)了！最后，央視居然TMD也報(bào)道了！年末這么多媒體不可能一起來炒作忽悠大眾吧！網(wǎng)民們的第一反映——這絕對(duì)是大事件！12306被入侵了，數(shù)據(jù)庫(kù)被黑客泄露了……

　　隨之而來的是，好事者和技術(shù)宅開始了搜索之旅，各種離線文件各種云盤各種存儲(chǔ)渠道的鏈接向你襲來，于是你機(jī)智的下載了……伴隨著間歇性轉(zhuǎn)發(fā)，此時(shí)高傲的你面對(duì)著四處求種的人們還帶著一絲優(yōu)越感——哼，哥早就有了！

　　下載下來一看，我們得到的不是傳說中的22G，18G，32G或37G！（以大小來標(biāo)記數(shù)據(jù)貌似也是從下載動(dòng)作片開始…已經(jīng)越來越像炒作了！）而我們看到的是14M，約13萬(wàn)的用戶數(shù)據(jù)。就像這樣：

　　看到這里，只是個(gè)起因而已，是的沒錯(cuò)，大多數(shù)人都做到了這一步，如果這個(gè)你都沒做到的話，恩，只能說看熱鬧不怕事兒大，你連熱鬧都沒認(rèn)真看啊！

　　升溫

　　熱點(diǎn)事件就是這樣，要么不溫不火，要么火到源頭都控制不了局面。很多人開始在這14M的數(shù)據(jù)里開始挖掘了，有很多人開始在數(shù)據(jù)里查詢自己活朋友的信息了，無論是否處于好意，但是這個(gè)時(shí)候你就會(huì)發(fā)現(xiàn)，數(shù)據(jù)沒有想象中那么齊全：

　　然后，更多的人選擇了繼續(xù)尋找全的數(shù)據(jù)，這個(gè)時(shí)候，你就想著了魔或者是強(qiáng)迫癥患者一樣開始瘋狂的尋找，你開始重新關(guān)注22G，32G…

　　那么好吧，很多人開始消耗那些在我國(guó)實(shí)屬不便宜的寬帶費(fèi)用，甚至第一次開啟了下載軟件的VIP會(huì)員，就是不能淪為人后，這是一個(gè)數(shù)據(jù)的時(shí)代！大數(shù)據(jù)的時(shí)代，什么數(shù)據(jù)價(jià)值還能大過12306嗎？

　　筆者也不能免俗，但是總有不詳?shù)念A(yù)感，整個(gè)事件發(fā)展到這里，跟一些桃色事件、XX門太像了！果不其然，在2014的這個(gè)圣誕節(jié)，我等屌絲們?cè)俅螒阎鵁o比激動(dòng)的心情，打開下載文件，再次重溫了兒時(shí)經(jīng)典《葫蘆娃》！

　　失控

　　當(dāng)人們還在沉醉于朋友圈轉(zhuǎn)發(fā)和找種子的激情時(shí)，一些明眼人或著保持理智的人開始意識(shí)到——被央視轉(zhuǎn)發(fā)的新聞就是真事嗎？新聞的源頭會(huì)不會(huì)有問題？12306真被黑了？

　　于是12306第三方網(wǎng)站被黑的論調(diào)出現(xiàn)，分銷商和分銷網(wǎng)點(diǎn)數(shù)據(jù)泄露似乎是個(gè)不錯(cuò)的解釋，可能性也極大。但是此刻立即有陰謀論者跳出來說：這是托詞，是推諉，是12306在找臨時(shí)工頂包！

　　另一種在我看來比較理智的是“撞庫(kù)”說，我們隨機(jī)抽出所謂“泄露數(shù)據(jù)庫(kù)”中的100條數(shù)據(jù)，將他們的密碼提取出來，然后嘗試登錄12306，你會(huì)發(fā)現(xiàn)：“花擦！居然都能用呢！”。

　　FreeBuf小科普：什么是“撞庫(kù)”

　　少量數(shù)據(jù)驗(yàn)證正確并不能代表這些數(shù)據(jù)就是12306網(wǎng)站流出的，而很有可能是黑客們將一些已經(jīng)泄露的數(shù)據(jù)庫(kù)（比如多年前的CSDN）很好的貫徹了數(shù)據(jù)整理的思想，通過12306進(jìn)行了驗(yàn)證（俗稱洗白）把能夠成功登陸的賬號(hào)密碼匯總，并且將登陸后拿到的身份證信息，電話信息和姓名信息一并匯總，也就是俗稱的“撞庫(kù)”。

　　那么這樣費(fèi)勁撞庫(kù)得來的數(shù)據(jù)，為什么會(huì)泄露出來呢？以下是一些猜想：

　　1、沒有買賣就沒有殺害，數(shù)據(jù)被買賣，貨賣多家導(dǎo)致擴(kuò)散開來

　　2、多方聯(lián)合的炒作事件——懂的人騙不懂的。然而炒作都是有利益關(guān)系的，這大家自己YY下就好了

　　3、自我“逼格”的提升，干了這么“驚天動(dòng)地的”事情人，想低調(diào)都覺得對(duì)不起自己

　　… …

　　好吧，這些暫且不說了，至此12306事件與跟當(dāng)年被翻炒了多少遍的冷飯“開房數(shù)據(jù)泄露”如出一轍，卻徹底被炒火了甚至失控了。有些小伙伴也是相當(dāng)有才，分分鐘連專用的查詢社工庫(kù)都出現(xiàn)了，我只能說你太機(jī)智了，手速也真是快啊：

　　高潮

　　當(dāng)門戶、“業(yè)內(nèi)人士”“專家”聯(lián)手將12306話題推向高潮的時(shí)候（據(jù)說專家們還要把2014稱為漏洞之年）……一群人坐不住了，他們急于證明黑客不只能做“撞庫(kù)”這種毫無技術(shù)含量的事！

　　于是“安全圈”流出了很多的截圖，說12306的服務(wù)器已經(jīng)被入侵了，甚至給出了截圖的證明：

　　重磅炸彈，貌似一瞬間推翻了之前證據(jù)確鑿的“撞庫(kù)”論，恩，這次事件開始有意思了，高潮來了一浪又一浪！這個(gè)時(shí)候，甚至有人將12306服務(wù)器的控制權(quán)限（webshell和連接密碼）都丟出來了，也就是說，誰(shuí)都可以直接使用12306服務(wù)器的控制權(quán)限。

　　終于可以聊聊漏洞了

　　是啊，真正事件的過程中，信息量太大了，事件源本身似乎也并非漏洞？都來不及去看看技術(shù)相關(guān)的東西了

　　好了，我們先來看看網(wǎng)上公布的入侵證據(jù)：

　　這一張和第一張重磅炸彈一樣，黑客使用struts漏洞（曾于2013年爆發(fā)）拿到了服務(wù)器控制權(quán)限，原圖還不打馬賽克，把包含漏洞網(wǎng)站域名清晰的展現(xiàn)給大家，仿佛就是說“歡迎來搞！”

　　所以，一旦你看到截圖，聯(lián)想到這個(gè)漏洞，那么想測(cè)試這個(gè)漏洞實(shí)在是太簡(jiǎn)單了，所以一大波入侵者和好事者正在來襲，比如這樣：

　　漏洞危害我就不說了，一目了然，但是漏洞畢竟不是不重要，安全也絕對(duì)不是嚇唬大眾，該有節(jié)操還是要有，說到這里，到底如何，旁觀者心中明白，搞技術(shù)的這個(gè)時(shí)候一定不能添油加醋…

　　都說是“撞庫(kù)”，但12306真有漏洞

　　有幾個(gè)值得我們思考的地方，就是真正入侵12306服務(wù)器或者說發(fā)現(xiàn)這些漏洞的人究竟在什么時(shí)候就開始了呢？Struts2漏洞爆發(fā)也是long long ago了，并且該漏洞在2013年集中地爆發(fā)過。當(dāng)時(shí)狀況慘不忍睹，各種知名、大型網(wǎng)站紛紛落馬。

　　但為什么當(dāng)時(shí)沒有人說12306被黑了呢？或者說那個(gè)時(shí)候12306奇跡般的存活了下來？

　　那么可能性就只有三種了：

　　1、12306在struts2漏洞爆發(fā)的時(shí)候，已經(jīng)被人入侵，只是一直潛伏，這次事件太熱，才浮出水面

　　2、當(dāng)時(shí)struts2漏洞爆發(fā)的時(shí)候，漏洞被批量利用，但是12306官網(wǎng)并不存在該漏洞，或者說當(dāng)時(shí)大家沒有發(fā)現(xiàn)12306的子域名和子站（這次6~7存在struts2漏洞的均為12306的子站）。所以得以幸免。

　　3、都是中國(guó)人，年年春運(yùn)都實(shí)屬不易，沒有人忍心干掉12306（這一條可以忽略，但我要傳播正能量！）

　　第一種可能性上文我們?cè)敿?xì)闡述過了，至于第二種，我覺得，那這次漏洞被發(fā)現(xiàn)可能是因?yàn)楹芏噍o助的原因，因?yàn)楫?dāng)struts2漏洞爆發(fā)的時(shí)候，大家尋找存在漏洞的目標(biāo)去利用一般使用google的語(yǔ)法，所以很可能那個(gè)時(shí)候真沒找到12306這些存在漏洞的分站。

　　服務(wù)器是入侵了，但數(shù)據(jù)呢？

　　事情理到這里也差不多了，但是大家有沒有發(fā)現(xiàn)，這些入侵截圖都沒有連接數(shù)據(jù)庫(kù)的截圖，也就是說是不是這些分站都沒有12306數(shù)據(jù)，與此次泄露毫無關(guān)聯(lián)？

　　雖說攻擊者可以利用struts2漏洞入侵服務(wù)器，獲取最高權(quán)限，但即使最高權(quán)限你也不能獲取到服務(wù)器上本就沒有的東西……

　　所以筆者判斷，最初的14M 13萬(wàn)數(shù)據(jù)還是一次“撞庫(kù)”的成果總結(jié)，這也就能解釋為什么數(shù)據(jù)中的密碼全是明文了。

　　結(jié)語(yǔ)

　　對(duì)12306來說，漏洞什么時(shí)候都該修補(bǔ)，漏洞爆發(fā)時(shí)要補(bǔ)，不管別人能不能找到你，不要存在僥幸心理，漏洞爆發(fā)的風(fēng)頭過去后產(chǎn)品才上線也要補(bǔ)，壞人總在角落盯著或等著你。

　　而筆者認(rèn)為，信息安全從業(yè)者做的是讓大家了解事件的危害，警覺起來，提高意識(shí)，幾時(shí)修改密碼什么的，而不是一味的嚇唬大眾來炒熱整個(gè)行業(yè)，嚇唬得到的是恐懼，而不是尊敬。

　　對(duì)大眾而言，立即修改你的密碼（買票了的話），沒買票的，直接刪除所有人名和身份證信息吧。春運(yùn)在即，實(shí)屬不易。另外，從今天起，你可以也需要關(guān)注信息安全了。