团购需警惕网站漏洞带来风险

　　由于网站漏洞的触发需要特定的场景，在黑客针对网站的实际攻击行为中，通常会组合利用多种不同类型的漏洞，包括运用社会工程学手段、弱口令破解等方式，达到其入侵和渗透目的。

　　比如高危级别的"SQL注入漏洞"和警告级别的"本地路径暴露",如果有网站同时存在这两个漏洞，黑客就有可能在网站服务器上运行脚本后门程序，随意篡改网站内容;如果服务器操作系统又存在本地提权漏洞，黑客又可以利用漏洞使脚本后门获得系统最高权限，这意味着网站服务器的硬盘也可能被黑客格式化。

　　下文将以漏洞影响为依据，分析哪些具体的团购业务可能受到网站漏洞的威胁。

　　一、用户密码和消费凭据泄露

　　在团购网站漏洞中，SQL注入漏洞是目前影响最大的漏洞之一。利用该漏洞，黑客可能读取网站数据库，获得注册用户的帐号和密码。此前有微博传言称，国内某团购网站用户数据库被黑客"刷库".由于19.4%的团购网站存在SQL注入漏洞，这种风险确实存在。

　　更为严重的是，团购网站的帐号和密码通常是网民的常用邮箱和密码。这类用户数据如果泄露，很可能被黑客利用在网上支付平台进行试探，如果恰好有人在网上支付平台和团购网站使用了相同的注册邮箱和密码，网上支付账户的余额就会被黑客盗取。

　　因此对于团购网站来说，不仅需要修复网站漏洞，还应对重要的用户数据进行加密处理，降低用户蒙受损失的风险;对网民来说，则应避免使用同一套帐号密码，而是要按照帐号重要程度对密码进行分级管理。

　　另一项不容忽视的风险是，有些网站漏洞一旦被黑客利用，可使黑客登录他人的团购帐号，例如团购程序漏洞、跨站脚本漏洞、CRLF注入HTTP响应拆分漏洞等。我们知道，团购商品包括许多本地化的消费，例如餐饮、电影票等，只需凭团购券号即可消费，这些消费凭据泄露的可能性也同样存在。

　　二、团购内容被篡改

　　在热衷于攻击网站的黑客群体中，部分黑客习惯篡改网页，留下入侵标识进行炫耀。在搜索引擎搜索hacked by,仅中文网页的搜索结果就有数十万条。

　　对于团购网站来说，如果网页被黑客篡改，其结果将严重影响用户对交易安全的信任感，造成客户流失;此外，团购网站页面内容和业务关联紧密，如果商品页面信息、甚至商品价格被他人恶意篡改，比如价值100元的商品被黑客恶作剧式修改为1元，可想而知将会造成巨大的经济损失。

　　在不同类型网站漏洞中，黑客利用SQL注入漏洞、团购程序漏洞、目录的写权限启用、PUT方法启用等多种漏洞或不同漏洞的组合攻击，都可能造成团购网站内容被篡改的后果。

　　三、团购网站被利用钓鱼或被恶意控制

　　在利用团购网站漏洞的钓鱼攻击中，跨站脚本漏洞和CRLF注入HTTP响应拆分漏洞非常典型。举例说明：

　　某天你在泡论坛，看到有篇帖子推荐了一款团购商品，价格令人动心，而且网址域名是你熟悉的一家团购网站。当你点击链接打开网页，网页表面看起来也和你熟悉的那家团购网站一模一样。请注意，这时页面可能已经执行了恶意脚本，在你面前打开的是黑客仿冒构造的一个钓鱼页面(跨站脚本漏洞);或者，网址悄然重定向跳转到钓鱼网站上，让你不知不觉间就从A网站来到黑客的B网站(CRLF注入HTTP响应拆分漏洞)。

　　如果通过此类钓鱼页面进行支付交易，交易资金很可能被黑客劫持，甚至网银、网上支付的账户密码也被黑客窃取。

　　另外，曾有技术人员曝光称，某团购网站的VIP会员活动、砸金蛋活动，甚至账户余额充值多次出现程序的用户交互漏洞，可以绕过权限验证随意领红包、无限砸金蛋和充值。与此相比，黑客利用网站漏洞实施渗透控制的后果更为严重。

　　例如，当团购网站服务器被黑客利用漏洞植入脚本后门，黑客可获得控制网站的权限，更进一步还可获得网站服务器系统的高级权限。这意味着，团购网站的各种交易、活动均可能被他人暗中操纵，而不仅仅是领红包、砸金蛋或账户充值，团购网站的所有资料、数据也可能被随时摧毁。