小男孩‘自慰网亚洲一区二区,亚洲一级在线播放毛片,亚洲中文字幕av每天更新,黄aⅴ永久免费无码,91成人午夜在线精品,色网站免费在线观看,亚洲欧洲wwwww在线观看

搜索
分享

300余家網(wǎng)站存在源代碼泄露風(fēng)險(xiǎn)

  2012-06-24
  4月9消息,360網(wǎng)站安全檢測平臺(tái)今日發(fā)布漏洞警報(bào)稱,國內(nèi)300余家大中型網(wǎng)站由于SVN使用不當(dāng),導(dǎo)致網(wǎng)站存在源代碼泄露隱患。一旦該漏洞被黑客利用,不僅這些網(wǎng)站會(huì)蒙受嚴(yán)重的經(jīng)濟(jì)損失,數(shù)千萬網(wǎng)民的賬號(hào)密碼和個(gè)人資料可能也因此被黑客盜取。目前,360已向存在漏洞的網(wǎng)站發(fā)出報(bào)警郵件,并提供修復(fù)方案。

  360網(wǎng)站安全檢測平臺(tái)服務(wù)網(wǎng)址:http://webscan.#

  據(jù)介紹,SVN(subversion)是程序員常用的源代碼版本管理軟件。一旦網(wǎng)站出現(xiàn)SVN漏洞,其危害遠(yuǎn)比SQL注入等其它常見網(wǎng)站漏洞更為致命,因?yàn)楹诳瞳@取到網(wǎng)站源代碼后,一方面是掠奪了網(wǎng)站的技術(shù)知識(shí)資產(chǎn),另一方面,黑客還可通過源代碼分析其它安全漏洞,從而對網(wǎng)站服務(wù)器及用戶數(shù)據(jù)造成持續(xù)威脅。
圖1:svn及entries文件夾暴露于外網(wǎng)環(huán)境
  經(jīng)360安全工程師分析,造成SVN源代碼漏洞的主要原因是管理員操作不規(guī)范?!霸谑褂?/FONT>SVN管理本地代碼過程中,會(huì)自動(dòng)生成一個(gè)名為.svn的隱藏文件夾,其中包含重要的源代碼信息。但一些網(wǎng)站管理員在發(fā)布代碼時(shí),不愿意使用‘導(dǎo)出’功能,而是直接復(fù)制代碼文件夾到WEB服務(wù)器上,這就使.svn隱藏文件夾被暴露于外網(wǎng)環(huán)境,黑客可以借助其中包含的用于版本信息追蹤的‘entries’文件,逐步摸清站點(diǎn)結(jié)構(gòu)。”

圖2:源代碼文件副本暴露于外網(wǎng)環(huán)境
  更嚴(yán)重的問題在于,SVN產(chǎn)生的.svn目錄下還包含了以.svn-base結(jié)尾的源代碼文件副本(低版本SVN具體路徑為text-base目錄,高版本SVN為pristine目錄,如果服務(wù)器沒有對此類后綴做解析,黑客則可以直接獲得文件源代碼。
  鑒于SVN源代碼漏洞存在巨大風(fēng)險(xiǎn),360網(wǎng)站安全檢測平臺(tái)已第一時(shí)間向存在漏洞的網(wǎng)站發(fā)送了報(bào)警郵件,提供了修復(fù)建議:
  一、立即刪除各級目錄下的.svn文件夾,并且在今后的SVN代碼上線操作中使用其自帶的導(dǎo)出“Export”功能。
  二、使用SVN 1.7及以上版本。

    本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間,所有內(nèi)容均由用戶發(fā)布,不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息,謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點(diǎn)擊一鍵舉報(bào)。
    轉(zhuǎn)藏 分享 獻(xiàn)花(0

    0條評論

    發(fā)表

    請遵守用戶 評論公約

    類似文章 更多