辟谣:最近看见有人说taobao的库被拖?求真相,打击造谣!!!

淘宝数据库被拖是真的吗?

淘宝数据库被拖走是真的吗?


最近看见有人说taobao的库被拖?求真相

wefgod (求大牛指点) | 2013-07-22 09:18

不知道是不是造谣?

[原帖地址]

相关讨论:

1#

ACGT | 2013-07-22 09:23

如果是拿下了有查询接口权限的服务器,批量获取了几十万甚至几百万账号,有可能,至于脱裤,赌5个乌云币,扯淡

2#

wefgod (求大牛指点) | 2013-07-22 09:31

@ACGT 哈,明白了

3#

liyang (<script>alert("xss")</script>) | 2013-07-22 09:40

@ACGT 道哥说的

先爆个小道消息,据某地下黑客组织成员透露,Struts这个漏洞在12号就有人在批量利用了,在17号晚有人用这个漏洞拖了3亿的库,其中包括某国内数一数二的电商网站。当然我相信这仅仅是冰山一角。

这是哪的?核总补充:该句出自“道哥黑板报”的文章“我推荐公众号的原则”中。)

4#

Nicky (-。-) | 2013-07-22 09:41

@liyang 说的不就是京东么。。。果断改密码去

5#

冷静 (我就不明白了,你特么为什么不导数据!中国社会这么烂,你有必要这样出淤泥而不染么?) | 2013-07-22 10:00

@liyang 道哥总是事后什么都知道

6#

小乐天 (小白一枚) | 2013-07-22 10:01

我相信京东被脱

7#

0x0F (你看不见我)????(人脸无?) | 2013-07-22 10:02

Evi1m0

8#

hqdvista (...) | 2013-07-22 10:07

球真相

9#

Passer_by (腾讯微博的Passer-by不是我) | 2013-07-22 10:07

还有人说京东的被拖

10#

Rookie | 2013-07-22 10:20

京东被脱是有可能的...

11#

斯文的鸡蛋 (顿时我就傻逼了) | 2013-07-22 10:21

@liyang 道哥,我只能"呵呵"了

12#

啦绯哥 | 2013-07-22 10:31

只能说林子大鸟多

谁拖了库还会拿着裤子套头上告诉全世界...

13#

dullub (专业销售变态一句话,你没有听错,998,998,只要998,超级镶钻一句话真的只要998,998,畸形一句话带回家<?=(])?><? $_=””; $_[+""]=”; $_=”$_”.””; $_=($_[+""]|””).($_[+""]|””).($_[+""]^””); ?> <?=${‘_’.$_}['_'](${‘_’.$_}['__&#) | 2013-07-22 10:54

@啦绯哥 +1

14#

黑匣子 | 2013-07-22 11:24

@斯文的鸡蛋 @冷静 说的好,道哥总是事后知道,呵呵

15#

liyang (<script>alert("xss")</script>) | 2013-07-22 11:25

@斯文的鸡蛋 别人一 呵呵 我就心虚。。。

16#

Sunshine (此处内容为隐藏0day,点击右边感谢即可查看此0day) | 2013-07-22 12:07

楼上各位帮我查查京东密码吧。。。我都忘了

17#

无敌L.t.H (:?门安天京北爱我) | 2013-07-22 12:15

我上JD都是OpenID上的怎么办?

18#

0x2b (姑娘,我给你讲黄色笑话,是想看你害羞,我是在调戏你) | 2013-07-22 12:36

昨晚我的网易账户 被登录了 不知道是不是撞裤

我没有JD账户 呵呵

19#

苦战 | 2013-07-22 14:09

@冷静 道哥神一般的存在~

20#

bystander | 2013-07-22 15:31

淘宝感觉不太可能,要是被拖了,拖的人就等大马哥发追杀令吧...哈哈

21#

Croxy | 2013-07-22 15:36

http://zhi.hu/URhX (分享自知乎网)

22#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-07-22 16:00

淘宝工程师:你把整个阿里打包走都没用,源码几百个G,怎么搭建、能不能搭建起来都是问题……

23#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-07-22 16:02

道哥那个“装x狂”(不带贬义,呵呵)你们也信……

24#

Passer_by (腾讯微博的Passer-by不是我) | 2013-07-22 16:14

淘宝数据库被拖是真的吗?

淘宝数据库被拖是真的吗?

江南,网络安全工程师,渗透测试工程师:

我觉得是不太可能的

第一,KXLZX(阿里的JAVA安全专家周拓)早就有提过这个漏洞,但是淘宝内部种种问题导致某些分站没有修复(FreeBuf上有报道),阿里内部早就知道有这个s2-016存在。

第二,淘宝的数据库是TB级(不排除有可能上到PB)的,拖库的话首先需要一个大带宽和存储他的服务器,不然拿回来的东西都放到那里?投入不说,技术上需要搭建这么符合需求一个服务器集群需要多久?除非你有一套现成的服务器集群+系统来存储大数据

第三,淘宝的用户名密码肯定不会只是简单的MD5,首先要符合几条原则(说的可能不太全,捡重点的说,实际情况会比这复杂的多)

1 可以验证

2 有RandomString,动态的salt

3 同密码的hash值不同(防止被字典攻击或者破解)

这样,即使出现最可怕的情况,全库被拖,也能保证数据安全,没法知道明文密码。

第四,出现漏洞的是淘宝的一个分站,主站和支付宝的数据库是安全的,从分站渗透,到获得主站的权限,不多说,明白人就知道这难度有多大,需要有能力,还要有胆量(这点我觉得很重要)

第五 内部肯定会有某种监控系统,以阿里的技术实力,有可能是自己开发的,出现未授权操作的会有报警的,别说拖库,你上个webshll或者提权估计都没戏

阿里的安全团队都是业内的大牛,阿里的安全防御不是一个struts2漏洞就能搞定的。so,这类的谣言还是叫他放出点数据截图再说。

25#

whirlwind (我们天真的梦在哪里?我们的快乐遗落在哪里?相信自己你最了不起,没人可以,对你的梦看不起。) | 2013-07-22 16:26

但是肯定主服务器原来因为默认密码被人拿下了

26#

dren | 2013-07-22 16:43

已经讨论了,脱的可能性很小,就是脱也是很小一部分,就是有加密密码也不能被破解出来

28#

齐迹 (@VIP) | 2013-07-22 19:43

数据难道你们只能想到密码。。发散点。。。

29#

wefgod (求大牛指点) | 2013-07-22 19:52

@核攻击 核总,怎么不见大家再探讨下京东的是否已经……

30#

ACGT | 2013-07-22 20:07

@核攻击 看过他那个关于V的微型小说的都知道,他的话至少要打个1/10的折扣来听

31#

F4K3R | 2013-07-22 20:28

@核攻击 说的好~

32#

笑看天下 | 2013-07-22 20:44

不晓得是真是假 反正我不用京东 淘宝绑定了数字证书

33#

m0r5 | 2013-07-22 22:00

谁拖了库还会拿着裤子套头上告诉全世界...

34#

upload (Van Helsing) | 2013-07-22 22:10

淘宝的st2修复的很快

35#

Anonymous.Antisec (We are anonymous) | 2013-07-22 22:14

@liyang 5月20号 某国外大型电信服务商服务器使用的是struts 我看到了个shell 密码 superhei

36#

鸡鸡 (~~~~~~~~~~~~~~~~~~~~~~~~~) | 2013-07-23 04:19

@Anonymous.Antisec 黑哥...也玩这个?

留言评论(旧系统):

周润发 @ 2013-07-22 18:43:27

不要以为淘宝工程师都是吃屎的。。。

本站回复:

+10086 淘宝大牛云集

佚名 @ 2013-07-25 16:29:53

我觉得吧,不要太过于相信那些安全砖家。谁说淘宝就不可能被拖的? 至于说数据大,只导username,password,phone等重要表段就行啦,这样的话数据就会小很多了。 你不至于还想把订单什么的都导出吧? 不过淘宝的数据加密措施肯定不会只是用个MD5,最起码也是SHA1!

本站回复:

我这么跟你说吧,以淘宝的安全级别,即使你把所有数据打包回家,也无法利用,密码更是世界顶级加密标准。

TNT @ 2013-07-27 15:21:14

手机号 淘宝的实名认证,身份证 消费记录,似乎也有用,说不定是JD拖了淘宝呢

本站回复:

好吧……