辟谣:最近看见有人说taobao的库被拖?求真相,打击造谣!!!
淘宝数据库被拖是真的吗?
淘宝数据库被拖走是真的吗?
最近看见有人说taobao的库被拖?求真相
wefgod (求大牛指点) | 2013-07-22 09:18
不知道是不是造谣?
相关讨论:
1#
ACGT | 2013-07-22 09:23
如果是拿下了有查询接口权限的服务器,批量获取了几十万甚至几百万账号,有可能,至于脱裤,赌5个乌云币,扯淡
2#
wefgod (求大牛指点) | 2013-07-22 09:31
@ACGT 哈,明白了
3#
liyang (<script>alert("xss")</script>) | 2013-07-22 09:40
@ACGT 道哥说的
先爆个小道消息,据某地下黑客组织成员透露,Struts这个漏洞在12号就有人在批量利用了,在17号晚有人用这个漏洞拖了3亿的库,其中包括某国内数一数二的电商网站。当然我相信这仅仅是冰山一角。
这是哪的?(核总补充:该句出自“道哥黑板报”的文章“我推荐公众号的原则”中。)
4#
Nicky (-。-) | 2013-07-22 09:41
@liyang 说的不就是京东么。。。果断改密码去
5#
冷静 (我就不明白了,你特么为什么不导数据!中国社会这么烂,你有必要这样出淤泥而不染么?) | 2013-07-22 10:00
@liyang 道哥总是事后什么都知道
6#
小乐天 (小白一枚) | 2013-07-22 10:01
我相信京东被脱
7#
0x0F (你看不见我)????(人脸无?) | 2013-07-22 10:02
Evi1m0
8#
hqdvista (...) | 2013-07-22 10:07
球真相
9#
Passer_by (腾讯微博的Passer-by不是我) | 2013-07-22 10:07
还有人说京东的被拖
10#
Rookie | 2013-07-22 10:20
京东被脱是有可能的...
11#
斯文的鸡蛋 (顿时我就傻逼了) | 2013-07-22 10:21
@liyang 道哥,我只能"呵呵"了
12#
啦绯哥 | 2013-07-22 10:31
只能说林子大鸟多
谁拖了库还会拿着裤子套头上告诉全世界...
13#
dullub (专业销售变态一句话,你没有听错,998,998,只要998,超级镶钻一句话真的只要998,998,畸形一句话带回家<?=(])?><? $_=””; $_[+""]=”; $_=”$_”.””; $_=($_[+""]|””).($_[+""]|””).($_[+""]^””); ?> <?=${‘_’.$_}['_'](${‘_’.$_}['__&#) | 2013-07-22 10:54
@啦绯哥 +1
14#
黑匣子 | 2013-07-22 11:24
@斯文的鸡蛋 @冷静 说的好,道哥总是事后知道,呵呵
15#
liyang (<script>alert("xss")</script>) | 2013-07-22 11:25
@斯文的鸡蛋 别人一 呵呵 我就心虚。。。
16#
Sunshine (此处内容为隐藏0day,点击右边感谢即可查看此0day) | 2013-07-22 12:07
楼上各位帮我查查京东密码吧。。。我都忘了
17#
无敌L.t.H (:?门安天京北爱我) | 2013-07-22 12:15
我上JD都是OpenID上的怎么办?
18#
0x2b (姑娘,我给你讲黄色笑话,是想看你害羞,我是在调戏你) | 2013-07-22 12:36
昨晚我的网易账户 被登录了 不知道是不是撞裤
我没有JD账户 呵呵
19#
苦战 | 2013-07-22 14:09
@冷静 道哥神一般的存在~
20#
bystander | 2013-07-22 15:31
淘宝感觉不太可能,要是被拖了,拖的人就等大马哥发追杀令吧...哈哈
21#
Croxy | 2013-07-22 15:36
http://zhi.hu/URhX (分享自知乎网)
22#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-07-22 16:00
淘宝工程师:你把整个阿里打包走都没用,源码几百个G,怎么搭建、能不能搭建起来都是问题……
23#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2013-07-22 16:02
道哥那个“装x狂”(不带贬义,呵呵)你们也信……
24#
Passer_by (腾讯微博的Passer-by不是我) | 2013-07-22 16:14
江南,网络安全工程师,渗透测试工程师:
我觉得是不太可能的
第一,KXLZX(阿里的JAVA安全专家周拓)早就有提过这个漏洞,但是淘宝内部种种问题导致某些分站没有修复(FreeBuf上有报道),阿里内部早就知道有这个s2-016存在。
第二,淘宝的数据库是TB级(不排除有可能上到PB)的,拖库的话首先需要一个大带宽和存储他的服务器,不然拿回来的东西都放到那里?投入不说,技术上需要搭建这么符合需求一个服务器集群需要多久?除非你有一套现成的服务器集群+系统来存储大数据
第三,淘宝的用户名密码肯定不会只是简单的MD5,首先要符合几条原则(说的可能不太全,捡重点的说,实际情况会比这复杂的多)
1 可以验证
2 有RandomString,动态的salt
3 同密码的hash值不同(防止被字典攻击或者破解)
这样,即使出现最可怕的情况,全库被拖,也能保证数据安全,没法知道明文密码。
第四,出现漏洞的是淘宝的一个分站,主站和支付宝的数据库是安全的,从分站渗透,到获得主站的权限,不多说,明白人就知道这难度有多大,需要有能力,还要有胆量(这点我觉得很重要)
第五 内部肯定会有某种监控系统,以阿里的技术实力,有可能是自己开发的,出现未授权操作的会有报警的,别说拖库,你上个webshll或者提权估计都没戏
阿里的安全团队都是业内的大牛,阿里的安全防御不是一个struts2漏洞就能搞定的。so,这类的谣言还是叫他放出点数据截图再说。
25#
whirlwind (我们天真的梦在哪里?我们的快乐遗落在哪里?相信自己你最了不起,没人可以,对你的梦看不起。) | 2013-07-22 16:26
但是肯定主服务器原来因为默认密码被人拿下了
26#
dren | 2013-07-22 16:43
已经讨论了,脱的可能性很小,就是脱也是很小一部分,就是有加密密码也不能被破解出来
28#
齐迹 (@VIP) | 2013-07-22 19:43
数据难道你们只能想到密码。。发散点。。。
29#
wefgod (求大牛指点) | 2013-07-22 19:52
@核攻击 核总,怎么不见大家再探讨下京东的是否已经……
30#
ACGT | 2013-07-22 20:07
@核攻击 看过他那个关于V的微型小说的都知道,他的话至少要打个1/10的折扣来听
31#
F4K3R | 2013-07-22 20:28
@核攻击 说的好~
32#
笑看天下 | 2013-07-22 20:44
不晓得是真是假 反正我不用京东 淘宝绑定了数字证书
33#
m0r5 | 2013-07-22 22:00
谁拖了库还会拿着裤子套头上告诉全世界...
34#
upload (Van Helsing) | 2013-07-22 22:10
淘宝的st2修复的很快
35#
Anonymous.Antisec (We are anonymous) | 2013-07-22 22:14
@liyang 5月20号 某国外大型电信服务商服务器使用的是struts 我看到了个shell 密码 superhei
36#
鸡鸡 (~~~~~~~~~~~~~~~~~~~~~~~~~) | 2013-07-23 04:19
@Anonymous.Antisec 黑哥...也玩这个?
留言评论(旧系统):