安恒信息2010-2011 WEB 零日漏洞安全报告.pdfVIP

杭州安恒信息技术有限公司 领先的应用安全及数据库安全整体解决方案提供商 安恒信息2010-2011 WEB 零日漏洞安全报告 关键词：安恒信息，安全漏洞，WEB 安全 本期报告概要： 2010 年1 月12 日上午7 点钟开始，全球最大中文搜索引擎 “百度”遭到黑客攻击，长时间无法正常访问。这是 自百度建立以来，所遭遇的持续时间最长、影响最严重的黑客攻击。回顾2010 年，猖獗的WEB 零日漏洞攻击似乎 预示着，2011 年又将是一个WEB 零日漏洞活跃的年份。各种安全漏洞的传播仍将继续扩大，僵尸网络还将活跃并 更加频繁变换方位，而黑客也将继续绞尽脑汁发明新的方式，以试图逃过各种安全软件的过滤。为此，杭州安恒信息 技术有限公司攻防实验室结合自身研究成果总结并发布2010-2011 Web 零日漏洞安全报告，从而呼吁整个互联网关 注Web 时代信息安全的全新威胁及趋势走向。 本期报告主要内容：  2010-2011Web 安全事件回顾  2010-2011Web 0day 回放  Web 安全未来发展趋势与挑战 2010-2011Web 安全事件回顾：  2011-3 月MYSQL.com 和 被入侵 攻击者通过MySQL.com 上查看用户的页面进入，获取到了数据库、表及存储用户密码的dump 数据。更严 重的是，攻击者将用户密码数据公布在网上让其他人进行破解。更糟糕的是MySQL 产品负责人的密码已被破解 （竟然是4 位数字：安全意识）。  2011-4 月，索尼数据服务器被入侵 日本索尼公司5 月1 日在东京举行新闻发布会，就公司网络游戏用户个人信息遭窃一事表示道歉，承认 1000 万张信用卡资料可能外泄，已邀请美国联邦调查局(FBI)展开调查。  2011-6 月Google Gmail 邮箱被攻击 当Gmail 用户打开带有Flash 漏洞攻击代码的恶意网页时，Gmail 邮箱中将被黑客偷偷添加一个 “间谍”帐 户。这个 “间谍”帐户不仅可以阅读所有邮件，甚至还能冒充Gmail 邮箱的主人向外发送邮件，从而使黑客达到 发布恶意广告、欺诈信息等目的。 Flash 被广泛应用在网页视频、网页游戏等领域，国内几乎90% 以上的电脑都安装了Adobe Flash Player。 同时，Gmail 在国内也拥有大量忠诚用户。因此，Flash “间谍”漏洞的曝光将对Gmail 邮箱安全造成极大威胁。  2011-6 月新浪微博遭黑客攻击 图片为引入的蠕虫JS 文件： 杭州总部电话：+86-057128860099 传真：+86-0571 地址：杭州市滨江区通和路68 号中财大厦 15 层 邮编：310051 杭州安恒信息技术有限公司 领先的应用安全及数据库安全整体解决方案提供商 6 月28 日晚，许多新浪微博用户的微博账号突然间大爆发，短时间内发布了多条带有短链接的微博并对粉丝发同 类私信。这其中不乏加V 认证的用户。而粉丝们收到该微博内容后，受微博或私信中诱惑性文字的诱导，点击该链接 后，这一批用户也遭受感染，进行批量发布带有恶意短链接的微博。据分析，此次新浪微博大范围遭受XSS 攻击，主 要原因是新浪微博的名人堂过滤不严，导致执行跨站脚本。当用户点击该恶意链接后，蠕虫病毒就通过这些用户继续 的进行传播，通过执行脚本，令受感染的微博帐号发布如下带有诱惑性字样的微博正文，并附上短链接： 郭美美事件的一些未注意到的细节； 建党大业中穿帮的地方； 让女人心动的100 句诗歌； 3D 肉团团高清普通话版种子； 这是传说中的神仙眷侣啊； 惊爆！范冰冰艳照真流出了； 杨幂被爆多次被潜规则； 傻仔拿锤子去抢银行； 可以监听别人手机的软件； 个税起征点有望提到4000 。 以上均为当前热门话题，对用户很具有诱导性。尤其是众多加V 认证的用户受到感染，发布相关微博内容后，病 毒传播的途径更为广泛，影响更为严重。在不到一个小时的时间，已经有超过3 万用户中招。