——CSDN泄密原理剖析与破解攻略

随着两名黑客的落网，“密码门”事件逐渐接近尾声。但是“密码门”事件所带来的影响却相当深远的。从政策立法上看，存在滞后性;从意识上看，对安全信息的不重视存在普遍性;从技术上，专业技术未得到广泛运用。本篇将从技术上全面深入剖析“密码门”事件的原理和路径，同时介绍相应的解决方案，以帮助政府、企业在未来最大程度地规避这些问题。

一、SQL注入漏洞致CSDN泄密

明文保护密码”是冤大头

当“密码门”事件爆发之后，“明文保护密码”被千夫所指。但其实不是“明文保护密码”的错。清华同方专家认为：本次事件最为重要的焦点问题是通过合法系统让黑客拿到非授权的数据如何解决，而非是否应当用密文进行数据存储。片面的强调明文或密文存储数据是对这次安全事故责任的推卸，本次事件的责任主要是网站运营方，完全没有控制住源代码开发的安全性，导致有漏洞的系统和网站对接，被黑客发现和攻击导致泄密事件的连锁爆炸。

SQL注入漏洞”致CSDN泄密

清华同方专家认为：从报道中提供的账号密码截图和已经获得的数据库密码表来看，可以断定是网站存在SQL注入漏洞，导致黑客可以很顺利的利用黑客工具进行攻击，从而获得数据库的访问权限以及有可能获得主机的控制权限，更有可能利用这种漏洞攻击关联的认证系统，如邮件、网银、电子货币等等。尽管与明文保护密码相关，但是CSDN泄密事件的根源还在于SQL注入漏洞。

SQL注入漏洞”事件频繁发生

其实，“SQL注入漏洞”事件在国内外频繁发生，显示了这类问题的普遍性和严重性。以下来看看最近几年来所发生的类似事件，让人触目惊心。

2009年赛门铁克网站被暴有SQL注入的安全漏洞。

2009年英国议会被黑。

2009年，xinnet旗下数万家虚拟主机用户被黑客挂马，传播了无法数计的木马。

2010年百度被黑后伊朗很多网站被攻破。

2010年我国工信部发表声明，我国每年4.2万个网站被篡改，积极需要与社会企业合作。

2010年某房地产网站被同方检测出来有SQL注入的安全问题。

2011年某基金网站被同方检测出来有SQL注入的安全问题。

2011年CSDN600万账号密码被泄漏。

几乎每一个被攻击的主体都是响当当的企业或政府机构，“SQL注入漏洞”所产生危害性可见一斑。

(责任编辑：)