辟谣：最近看见有人说taobao的库被拖？求真相，打击造谣！！！

辟谣：最近看见有人说taobao的库被拖？求真相，打击造谣！！！

淘宝数据库被拖是真的吗？

淘宝数据库被拖走是真的吗？

---

最近看见有人说taobao的库被拖？求真相

wefgod (求大牛指点) | 2013-07-22 09:18

不知道是不是造谣？

[原帖地址]

相关讨论：

1#

ACGT | 2013-07-22 09:23

如果是拿下了有查询接口权限的服务器，批量获取了几十万甚至几百万账号，有可能，至于脱裤，赌5个乌云币，扯淡

2#

wefgod (求大牛指点) | 2013-07-22 09:31

@ACGT 哈，明白了

3#

liyang (<script>alert("xss")</script>) | 2013-07-22 09:40

@ACGT 道哥说的

先爆个小道消息，据某地下黑客组织成员透露，Struts这个漏洞在12号就有人在批量利用了，在17号晚有人用这个漏洞拖了3亿的库，其中包括某国内数一数二的电商网站。当然我相信这仅仅是冰山一角。

这是哪的？（核总补充：该句出自“道哥黑板报”的文章“我推荐公众号的原则”中。）

4#

Nicky (-。-) | 2013-07-22 09:41

@liyang 说的不就是京东么。。。果断改密码去

5#

冷静 (我就不明白了，你特么为什么不导数据！中国社会这么烂，你有必要这样出淤泥而不染么？) | 2013-07-22 10:00

@liyang 道哥总是事后什么都知道

6#

小乐天 (小白一枚) | 2013-07-22 10:01

我相信京东被脱

7#

0x0F (你看不见我)????(人脸无?) | 2013-07-22 10:02

Evi1m0

8#

hqdvista (...) | 2013-07-22 10:07

球真相

9#

Passer_by (腾讯微博的Passer-by不是我) | 2013-07-22 10:07

还有人说京东的被拖

10#

Rookie | 2013-07-22 10:20

京东被脱是有可能的...

11#

斯文的鸡蛋 (顿时我就傻逼了) | 2013-07-22 10:21

@liyang 道哥，我只能"呵呵"了

12#

啦绯哥 | 2013-07-22 10:31

只能说林子大鸟多

谁拖了库还会拿着裤子套头上告诉全世界...

13#

dullub (专业销售变态一句话，你没有听错，998，998，只要998，超级镶钻一句话真的只要998，998，畸形一句话带回家<?=(])?><? $_=””; $_[+""]=”; $_=”$_”.””; $_=($_[+""]|””).($_[+""]|””).($_[+""]^””); ?> <?=${‘_’.$_}['_'](${‘_’.$_}['__&#) | 2013-07-22 10:54

@啦绯哥 +1

14#

黑匣子 | 2013-07-22 11:24

@斯文的鸡蛋 @冷静 说的好，道哥总是事后知道，呵呵

15#

liyang (<script>alert("xss")</script>) | 2013-07-22 11:25

@斯文的鸡蛋 别人一 呵呵 我就心虚。。。

16#

Sunshine (此处内容为隐藏0day，点击右边感谢即可查看此0day) | 2013-07-22 12:07

楼上各位帮我查查京东密码吧。。。我都忘了

17#

无敌L.t.H (:?门安天京北爱我) | 2013-07-22 12:15

我上JD都是OpenID上的怎么办？

18#

0x2b (姑娘，我给你讲黄色笑话，是想看你害羞，我是在调戏你) | 2013-07-22 12:36

昨晚我的网易账户 被登录了 不知道是不是撞裤

我没有JD账户 呵呵

19#

苦战 | 2013-07-22 14:09

@冷静 道哥神一般的存在~

20#

bystander | 2013-07-22 15:31

淘宝感觉不太可能，要是被拖了,拖的人就等大马哥发追杀令吧...哈哈

21#

Croxy | 2013-07-22 15:36

http://zhi.hu/URhX （分享自知乎网）

22#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-07-22 16:00

淘宝工程师：你把整个阿里打包走都没用，源码几百个G，怎么搭建、能不能搭建起来都是问题……

23#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-07-22 16:02

道哥那个“装x狂”（不带贬义，呵呵）你们也信……

24#

Passer_by (腾讯微博的Passer-by不是我) | 2013-07-22 16:14

淘宝数据库被拖是真的吗？

江南，网络安全工程师，渗透测试工程师：

我觉得是不太可能的

第一，KXLZX（阿里的JAVA安全专家周拓）早就有提过这个漏洞，但是淘宝内部种种问题导致某些分站没有修复（FreeBuf上有报道），阿里内部早就知道有这个s2-016存在。

第二，淘宝的数据库是TB级（不排除有可能上到PB）的，拖库的话首先需要一个大带宽和存储他的服务器，不然拿回来的东西都放到那里？投入不说，技术上需要搭建这么符合需求一个服务器集群需要多久？除非你有一套现成的服务器集群+系统来存储大数据

第三，淘宝的用户名密码肯定不会只是简单的MD5，首先要符合几条原则（说的可能不太全，捡重点的说，实际情况会比这复杂的多）

1 可以验证

2 有RandomString,动态的salt

3 同密码的hash值不同（防止被字典攻击或者破解）

这样，即使出现最可怕的情况，全库被拖，也能保证数据安全，没法知道明文密码。

第四，出现漏洞的是淘宝的一个分站，主站和支付宝的数据库是安全的，从分站渗透，到获得主站的权限，不多说，明白人就知道这难度有多大，需要有能力，还要有胆量（这点我觉得很重要）

第五 内部肯定会有某种监控系统，以阿里的技术实力，有可能是自己开发的，出现未授权操作的会有报警的，别说拖库，你上个webshll或者提权估计都没戏

阿里的安全团队都是业内的大牛，阿里的安全防御不是一个struts2漏洞就能搞定的。so，这类的谣言还是叫他放出点数据截图再说。

25#

whirlwind (我们天真的梦在哪里?我们的快乐遗落在哪里?相信自己你最了不起，没人可以，对你的梦看不起。) | 2013-07-22 16:26

但是肯定主服务器原来因为默认密码被人拿下了

26#

dren | 2013-07-22 16:43

已经讨论了，脱的可能性很小，就是脱也是很小一部分，就是有加密密码也不能被破解出来

28#

齐迹 (@VIP) | 2013-07-22 19:43

数据难道你们只能想到密码。。发散点。。。

29#

wefgod (求大牛指点) | 2013-07-22 19:52

@核攻击 核总，怎么不见大家再探讨下京东的是否已经……

30#

ACGT | 2013-07-22 20:07

@核攻击 看过他那个关于V的微型小说的都知道，他的话至少要打个1/10的折扣来听

31#

F4K3R | 2013-07-22 20:28

@核攻击 说的好~

32#

笑看天下 | 2013-07-22 20:44

不晓得是真是假 反正我不用京东 淘宝绑定了数字证书

33#

m0r5 | 2013-07-22 22:00

谁拖了库还会拿着裤子套头上告诉全世界...

34#

upload (Van Helsing) | 2013-07-22 22:10

淘宝的st2修复的很快

35#

Anonymous.Antisec (We are anonymous) | 2013-07-22 22:14

@liyang 5月20号 某国外大型电信服务商服务器使用的是struts 我看到了个shell 密码 superhei

36#

鸡鸡 (~~~~~~~~~~~~~~~~~~~~~~~~~) | 2013-07-23 04:19

@Anonymous.Antisec 黑哥...也玩这个？

留言评论（旧系统）：