樂購網訊 4月10日消息,360網站安全檢測平臺今日發(fā)布漏洞警報稱,國內300余家大中型網站由于SVN使用不當,導致網站存在源代碼泄露隱患。一旦該漏洞被黑客利用,不僅這些網站會蒙受嚴重的經濟損失,數千萬網民的帳號密碼和個人資料可能也因此被黑客盜取。目前,360已向存在漏洞的網站發(fā)出報警郵件,并提供修復方案。
360網站安全檢測平臺服務網址:http://webscan.360.cn
據介紹,SVN(subversion)是程序員常用的源代碼版本管理軟件。一旦網站出現SVN漏洞,其危害遠比SQL注入等其它常見網站漏洞更為致命,因為黑客獲取到網站源代碼后,一方面是掠奪了網站的技術知識資產,另一方面,黑客還可通過源代碼分析其它安全漏洞,從而對網站服務器及用戶數據造成持續(xù)威脅。
圖1:svn及entries文件夾暴露于外網環(huán)境
經360安全工程師分析,造成SVN源代碼漏洞的主要原因是管理員操作不規(guī)范。“在使用SVN管理本地代碼過程中,會自動生成一個名為.svn的隱藏文件夾,其中包含重要的源代碼信息。但一些網站管理員在發(fā)布代碼時,不愿意使用‘導出’功能,而是直接復制代碼文件夾到WEB服務器上,這就使.svn隱藏文件夾被暴露于外網環(huán)境,黑客可以借助其中包含的用于版本信息追蹤的‘entries’文件,逐步摸清站點結構。”
圖2:源代碼文件副本暴露于外網環(huán)境
更嚴重的問題在于,SVN產生的.svn目錄下還包含了以.svn-base結尾的源代碼文件副本(低版本SVN具體路徑為text-base目錄,高版本SVN為pristine目錄),如果服務器沒有對此類后綴做解析,黑客則可以直接獲得文件源代碼。
鑒于SVN源代碼漏洞存在巨大風險,360網站安全檢測平臺已第一時間向存在漏洞的網站發(fā)送了報警郵件,并提供了修復建議:
一、立即刪除各級目錄下的.svn文件夾,并且在今后的svn代碼上線操作中使用其自帶的導出“Export”功能。
二、使用svn1.7及以上版本。
推薦閱讀
周鴻祎:不會有什么搜索大戰(zhàn)>>>詳細閱讀
本文標題:300余家網站存源代碼泄露風險 360發(fā)送報警郵件
地址:http://www.xglongwei.com/a/11/20120414/51009.html
網友點評
精彩導讀
科技快報
品牌展示