據微博2013年7月22日傳出來的消息，淘寶的數據庫因為Strust2漏洞被拖了，俗稱拖庫。這意味著淘寶的數據庫存在被泄露的風險，一如曾經的CSDN數據泄露，而對于淘寶和支付寶來說，如果傳聞當真，數據泄露造成的損失將無法估量，堪稱互聯網災難日。而淘寶網官方也對此傳聞第一時間迅速地進行了澄清辟謠，表明淘寶未發(fā)現受Struts命令執(zhí)行漏洞影響，截止目前，用戶的數據安全和帳戶數據未見任何異常。目前來看，拖庫的傳聞是謠言的可能性更大，但無論如何，對于類似“拖庫”這樣陌生的專業(yè)名詞，什么是拖庫攻擊，Strusts2高危漏洞又是怎么一回事?相信很多網友都存在著疑惑，以下為你一一詳解。

什么是拖庫?

拖庫一詞多用于數據庫程序員專業(yè)人士使用，但其實語意很簡單，就是從數據庫導出數據，或者可以簡單理解為“下載數據庫”。很多時候數據庫的資料需要導出來在別的地方使用，并且數據庫資料可以導出好幾種格式，例如：TXT，XLS等格式。而到了黑客攻擊泛濫的今天，它也常被用來指網站遭到入侵后，黑客竊取其數據庫。

(資料圖片)

什么是拖庫攻擊?

拖庫攻擊通常分為以下步驟：

首先，黑客對目標網站進行掃描，查找其存在的漏洞，常見漏洞包括SQL注入、文件上傳漏洞、Struts命令執(zhí)行漏洞等。

然后，通過該漏洞在網站服務器上建立“后門(webshell)”，通過該后門獲取服務器操作系統(tǒng)的權限。

最后，利用系統(tǒng)權限直接下載備份數據庫，或查找數據庫鏈接，將其導出到本地。

什么是Strusts2漏洞事件?

7月17日，Apache Struts2發(fā)布漏洞公告，稱其Struts2 Web應用框架存在一個可以遠程執(zhí)行任意命令的高危漏洞。并且直接在漏洞公告中將漏洞利用代碼給公布出來了。這一漏洞的公布直接導致許多安全公司和互聯網公司安全部門的工程師們都沒睡好覺，通宵達旦的在加班。因為國內的很多銀行、政府機構、幾乎所有的大中型互聯網公司都是使用Struts2框架的。利用Struts2漏洞，最常見會發(fā)生的就是網站的數據泄露，黑客可輕易攻陷網站服務器，對網站的數據庫進行“拖庫”，從而獲取網站注冊用戶的帳號密碼和個人資料等。目前，網絡上已出現了一些自動化、傻瓜化的Stuts2漏洞攻擊軟件了。

拖庫存在什么危害?

根據資料顯示部分網民習慣為郵箱、微博、游戲、網上支付、購物等帳號設置相同密碼，一旦數據庫被泄漏，所有的用戶資料被公布于眾，任何人都可以拿著密碼去各個網站去嘗試登錄，對一些敏感的金融行業(yè)是致命的危害，對普通用戶可能造成財產，個人隱私的損失或泄漏。2011年末的密碼危機拖庫事件便是典型的例子。

對于媒體型互聯網站來說，泄漏的是郵箱賬戶和密碼。黑客通常會利用其猜測其它網站的密碼，或者收集郵箱賬戶做成數據庫，賣給垃圾郵件發(fā)送者。

對于有較多個人信息的SNS社交網站來說，黑客可以利用個人資料去進行網絡詐騙、網絡釣魚、“QQ借錢詐騙”等。

對于電商網站，數據庫主要包含了用戶的購買行為、住址、手機號、支付帳號等，黑客可高價販賣用戶行為資料給行業(yè)的競爭對手進行網絡營銷或者直接進行網絡詐騙。

對于銀行、證券等網站危害更是不可想象，一旦出現安全漏洞，分分鐘就可能是巨大的金額損失。

所以說，拖庫的危害因人而異，取決于數據庫的價值。

無論淘寶的數據庫是否有被拖，但Struts2高危漏洞引發(fā)的潛在拖庫危害確實存在，對于網友來說，加強自我安全保護意識也是必須的，根據不同的網站設置不同的密碼，一旦發(fā)現帳號異常、立即更改密碼，才能將潛在危害減至最小。