安恒信息2010-2011 WEB 零日漏洞安全报告

　　本期报告概要：

　　2010年1月12日上午7点钟开始，全球最大中文搜索引擎“百度”遭到黑客攻击，长时间无法正常访问。这是自百度建立以来，所遭遇的持续时间最长、影响最严重的黑客攻击。回顾2010年，猖獗的WEB 零日漏洞攻击似乎预示着，2011年又将是一个WEB 零日漏洞活跃的年份。各种安全漏洞的传播仍将继续扩大，僵尸网络还将活跃并更加频繁变换方位，而黑客也将继续绞尽脑汁发明新的方式，以试图逃过各种安全软件的过滤。为此，杭州安恒信息技术有限公司攻防实验室结合自身研究成果总结并发布2010-2011 Web 零日漏洞安全报告，从而呼吁整个互联网关注Web时代信息安全的全新威胁及趋势走向。

　　本期报告主要内容：

　　· 2010-2011Web安全事件回顾

　　· 2010-2011Web 0day回放

　　· Web安全未来发展趋势与挑战

　　2010-2011Web安全事件回顾：

　　· 2011-3月MYSQL.com和sun.com被入侵

　　攻击者通过MySQL.com上查看用户的页面进入，获取到了数据库、表及存储用户密码的dump数据。更严重的是，攻击者将用户密码数据公布在网上让其他人进行破解。更糟糕的是MySQL产品负责人的密码已被破解(竟然是4位数字：安全意识)。

　　· 2011-4月，索尼数据服务器被入侵

　　日本索尼公司5月1日在东京举行新闻发布会，就公司网络游戏用户个人信息遭窃一事表示道歉，承认1000万张信用卡资料可能外泄，已邀请美国联邦调查局(FBI)展开调查。

　　· 2011-6月Google Gmail邮箱被攻击

　　当Gmail用户打开带有Flash漏洞攻击代码的恶意网页时，Gmail邮箱中将被黑客偷偷添加一个“间谍”帐户。这个“间谍”帐户不仅可以阅读所有邮件，甚至还能冒充Gmail邮箱的主人向外发送邮件，从而使黑客达到发布恶意广告、欺诈信息等目的。

　　Flash被广泛应用在网页视频、网页游戏等领域，国内几乎90%以上的电脑都安装了Adobe Flash Player。同时，Gmail在国内也拥有大量忠诚用户。因此，Flash“间谍”漏洞的曝光将对Gmail邮箱安全造成极大威胁。

　　· 2011-6月新浪微博遭黑客攻击

　　图片为引入的蠕虫JS文件：

　　6月28日晚，许多新浪微博用户的微博账号突然间大爆发，短时间内发布了多条带有短链接的微博并对粉丝发同类私信。这其中不乏加V认证的用户。而粉丝们收到该微博内容后，受微博或私信中诱惑性文字的诱导，点击该链接后，这一批用户也遭受感染，进行批量发布带有恶意短链接的微博。据分析，此次新浪微博大范围遭受XSS攻击，主要原因是新浪微博的名人堂过滤不严，导致执行跨站脚本。当用户点击该恶意链接后，蠕虫病毒就通过这些用户继续的进行传播，通过执行脚本，令受感染的微博帐号发布如下带有诱惑性字样的微博正文，并附上短链接：

　　郭美美事件的一些未注意到的细节;

　　建党大业中穿帮的地方;

　　让女人心动的100句诗歌;

　　3D肉团团高清普通话版种子;

　　这是传说中的神仙眷侣啊;

　　惊爆!范冰冰艳照真流出了;

　　杨幂被爆多次被潜规则;

　　傻仔拿锤子去抢银行;

　　可以监听别人手机的软件;

　　个税起征点有望提到4000。

　　以上均为当前热门话题，对用户很具有诱导性。尤其是众多加V认证的用户受到感染，发布相关微博内容后，病毒传播的途径更为广泛，影响更为严重。在不到一个小时的时间，已经有超过3万用户中招。

　　2010-2011Web 0day回放：