4月9日消息，360網(wǎng)站安全檢測平臺今日發(fā)布漏洞警報稱，國內(nèi)300余家大中型網(wǎng)站由于SVN使用不當，導致網(wǎng)站存在源代碼泄露隱患。一旦該漏洞被黑客利用，不僅這些網(wǎng)站會蒙受嚴重的經(jīng)濟損失，數(shù)千萬網(wǎng)民的帳號密碼和個人資料可能也因此被黑客盜取。目前，360已向存在漏洞的網(wǎng)站發(fā)出報警郵件，并提供修復方案。

360網(wǎng)站安全檢測平臺服務網(wǎng)址：http://webscan.#

據(jù)介紹，SVN（subversion）是程序員常用的源代碼版本管理軟件。一旦網(wǎng)站出現(xiàn)SVN漏洞，其危害遠比SQL注入等其它常見網(wǎng)站漏洞更為致命，因為黑客獲取到網(wǎng)站源代碼后，一方面是掠奪了網(wǎng)站的技術(shù)知識資產(chǎn)，另一方面，黑客還可通過源代碼分析其它安全漏洞，從而對網(wǎng)站服務器及用戶數(shù)據(jù)造成持續(xù)威脅。

圖1：svn及entries文件夾暴露于外網(wǎng)環(huán)境

經(jīng)360安全工程師分析，造成SVN源代碼漏洞的主要原因是管理員操作不規(guī)范。"在使用SVN管理本地代碼過程中，會自動生成一個名為.svn的隱藏文件夾，其中包含重要的源代碼信息。但一些網(wǎng)站管理員在發(fā)布代碼時，不愿意使用'導出'功能，而是直接復制代碼文件夾到WEB服務器上，這就使.svn隱藏文件夾被暴露于外網(wǎng)環(huán)境，黑客可以借助其中包含的用于版本信息追蹤的'entries'文件，逐步摸清站點結(jié)構(gòu)。"

圖2：源代碼文件副本暴露于外網(wǎng)環(huán)境

更嚴重的問題在于，SVN產(chǎn)生的.svn目錄下還包含了以.svn-base結(jié)尾的源代碼文件副本（低版本SVN具體路徑為text-base目錄，高版本SVN為pristine目錄），如果服務器沒有對此類后綴做解析，黑客則可以直接獲得文件源代碼。

鑒于SVN源代碼漏洞存在巨大風險，360網(wǎng)站安全檢測平臺已第一時間向存在漏洞的網(wǎng)站發(fā)送了報警郵件，并提供了修復建議：

一、立即刪除各級目錄下的.svn文件夾，并且在今后的svn代碼上線操作中使用其自帶的導出"Export"功能。

二、使用svn1.7及以上版本。