您的位置:首页>>电脑软件
搜索: 标题  

360发布漏洞警报:300余家网站存源代码泄露风险

发布时间:2012-04-09 14:11:41  来源:互联网   编辑:新闻值班  背景:

  4月9日消息,360网站安全检测平台今日发布漏洞警报称,国内300余家大中型网站由于SVN使用不当,导致网站存在源代码泄露隐患。一旦该漏洞被黑客利用,不仅这些网站会蒙受严重的经济损失,数千万网民的帐号密码和个人资料可能也因此被黑客盗取。目前,360已向存在漏洞的网站发出报警邮件,并提供修复方案。

  360网站安全检测平台服务网址:http://webscan.360.cn

  据介绍,SVN(subversion)是程序员常用的源代码版本管理软件。一旦网站出现SVN漏洞,其危害远比SQL注入等其它常见网站漏洞更为致命,因为黑客获取到网站源代码后,一方面是掠夺了网站的技术知识资产,另一方面,黑客还可通过源代码分析其它安全漏洞,从而对网站服务器及用户数据造成持续威胁。

 图1:svn及entries文件夹暴露于外网环境

  经360安全工程师分析,造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。”

 

 图2:源代码文件副本暴露于外网环境

  更严重的问题在于,SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本(低版本SVN具体路径为text-base目录,高版本SVN为pristine目录),如果服务器没有对此类后缀做解析,黑客则可以直接获得文件源代码。

  鉴于SVN源代码漏洞存在巨大风险,360网站安全检测平台已第一时间向存在漏洞的网站发送了报警邮件,并提供了修复建议:

  一、立即删除各级目录下的.svn文件夹,并且在今后的svn代码上线操作中使用其自带的导出“Export”功能。

  二、使用svn1.7及以上版本。




返回网站首页 本文来源:互联网

本文评论
百度VR浏览器推出品牌专区,进一步扩大内容优势
刚刚过去的双十一各大电商平台销售额再创新高,不少人认为这对于VR行业是个利好,在年底的这次购物...
日期:11-15
如何恢复删除的微信历史聊天记录:苹果手机用户必备
微信是现在使用频率最高的聊天和社交工具,使用时每个人都碰到过这样那样的问题。 比如怎样将语音聊...
日期:11-11
孩子浏览不良网站怎么办?格雷盒子软件管用
近日,成都市民王女士花几千元给孩子买了台平板,没想到平板刚到家没几天,孩子就和它形影不离,而...
日期:11-07
《汽车报价大全TV版》登“乐” 乐视应用商店独家首发
11月4日消息,囊括9000多款车型、全国20000家合作经销商以及每天10万条汽车报价信息的知名移动应用...
日期:11-07
百度手机浏览器安卓7.6版初体验:画面太美,比心!
为了搜索和获取资讯更加方便,我的手机上一直装着百度手机浏览器,基本每天都会打开看一下当天的有...
日期:11-02
万圣节惊悚狂欢之夜  应用宝力荐过节APP
10月31日是万圣节,俗称鬼节,是西方世界的传统节日,按照习俗,小孩会穿上化妆服、戴上面具,挨家挨...
日期:10-31
360WiFi扩展器产品体验会,见证放大30米高的主路由WiFi!
今天中午12:00,360WiFi扩展器在北京360总部广场亮相并举办线下产品体验会,产品凭借着精致美观、配...
日期:10-26
原来微云还有这样的隐藏技能!
话说,前几天360决定停止个人云盘服务,声明一出,各种“观光团”遍布了整个网络,有人叹...
日期:10-25
系统重装后数据恢复?重装系统数据丢失怎么找回?
电脑用久了有点卡或者是其他原因,我们就想要重装一下系统,但是在重装系统的过程中,我们可能会遇...
日期:10-25
手机百度看深圳资讯:千人千面大不同
日前,一款具有精准资讯推荐功能的软件——手机百度正成为深圳市民获取资讯的主要工具。...
日期:10-21
最新数据:Win10在多个国家市场份额跃居第一
数据调研机构StatCounter发布了2016年10月份前两周全球桌面系统市场份额统计排名,最新数据显示,Wi...
日期:10-19
仿冒公检法诈骗成毒瘤,腾讯手机管家三层防御系统打击
从前不久清华大学教授被骗1760万元,到日前曝光的渝北女子被骗2000余万,更多仿冒公检法电信诈骗案...
日期:10-18
257万条个人信息泄露,腾讯手机管家支招防诈骗
近日,四川绵阳警方破获了公安部挂牌督办的“5·26侵犯公民个人信息案”,抓获包括...
日期:10-18
腾讯电脑管家9月安全报告:诈骗类木马变种多 日均查杀超3万
9月以来,各类影视作品火爆上线,从仙侠电视剧《青云志》到缉毒电影《湄公河行动》,精彩的剧情和典...
日期:10-18
有道词典用户量破6亿 牵手朗文共促在线教育发展
日前,网易有道2016战略发布会在北京举行。发布会上,有道词典7.0新版正式亮相,并携手拥有292年历...
日期:10-14
《湄公河行动》种子有毒 电脑管家提醒用户小心下载
“十一”黄金周期间,电影《湄公河行动》刷爆社交平台。该电影根据“10·5中...
日期:10-11
Win10安装数量已超4亿台 不到3个月增加5000万
今天在微软Ignite点燃大会上,微软更新了Windows 10安装设备最新数字:现在安装了Windows 10的设备...
日期:09-27
WPS邮箱4.1.0版本测评:清新如初的体验 一如既往的惊喜
自上线以来,集文艺范和极客范于一体的WPS邮箱深得许多重度用户的偏爱,其小而美的产品体验堪称邮箱...
日期:09-23
AppStore的话费支付 大蛋糕还是小鸡肋?
AppStore
  不久前,苹果宣布在全球多地新增加运营商话费支付作为AppStore的支付模式,这让人不...
日期:09-23
iMessage也能发文件? WPS把iOS 10玩出新花样
比起早早就被媒体看光变化不大的iPhone7,iOS 10的正式上线反而更受追捧。截至目前,iOS 10的安装率...
日期:09-22