漏洞威胁上亿网民 个人资料危在旦夕 6万个网站藏“泄密地雷”
安全防线
黑客可以批量盗取网站的数据库吗?只要有合适的漏洞,大量窃取网民的个人资料轻而易举。
EXCMS送的礼物
前几日,黑客“血玫瑰”在电脑报的黑客技术群中分享了几张图片,图片中记录了大量网民的个人资料,虽然关键部分被抹黑了,但这些网民的隐私泄密却是不容置疑的。为什么“血玫瑰”掌握了这么多个人隐私呢?
其实,“血玫瑰”掌握了EXCMS漏洞利用方法(EXCMS是建站程序的一种,被广泛使用),利用漏洞“血玫瑰”发现好多网站的数据库完全不设防,只要他愿意,数据库中的注册用户信息就可以一览无余。
还原黑客入侵过程
“血玫瑰”是怎么利用漏洞入侵数据库的呢?他首先在搜索引擎中以“Powered by EXCMS 2011”为关键字进行搜索,搜索到的网站都含有漏洞,随意挑选一个作为目标,再在域名后输入apps/include.php?file=sitedata/config.inc.php。
回车后,出现一个空白页面,不要以为是空白页就失望,其实重要内容正隐藏于其中。“血玫瑰”在空白页面上点击右键,在弹出的菜单中选择“查看源文件”,就这样,网站的MySQL数据库信息暴露无遗(见图)。
到了这里,基本上网站的数据库就唾手可得。“血玫瑰”调出数据库连接工具Navicat for MySQL,点击“Connection”, 在弹出的窗口中分别输入数据库IP地址、用户名及密码,然后点击“OK”就连上了网站的MySQL数据库。
数据库都进去了,剩下的就是破解加密信息了,在“血玫瑰”看来,这个工作不费吹灰之力,他连网站管理员的账号和密码都破解了(管理员用户名为“土豆”, 密码为123)——事实上,只要时间充裕“血玫瑰”可以入侵数万网站的数据库。
