華爾街日?qǐng)?bào)(The Wall Street Journal)創(chuàng)刊于1889年，以超過(guò)200萬(wàn)份的發(fā)行量成為美國(guó)付費(fèi)發(fā)行量最大的財(cái)經(jīng)報(bào)紙。這份在美國(guó)紐約出版的報(bào)紙，著重在財(cái)經(jīng)新聞的報(bào)道，其內(nèi)容足以影響每日的國(guó)際經(jīng)濟(jì)活動(dòng)?！度A爾街日?qǐng)?bào)》的讀者主要為政治、經(jīng)濟(jì)、教育和醫(yī)學(xué)界的重要人士，金融大亨和經(jīng)營(yíng)管理人員以及股票市場(chǎng)的投資者，其中包括20萬(wàn)名的董事長(zhǎng)、總經(jīng)理。

背景

7月21日一個(gè)id為w0rm的黑客發(fā)了一個(gè)出售華爾街日?qǐng)?bào)數(shù)據(jù)庫(kù)的twitter，售價(jià)為1BTC。并給出了一個(gè)數(shù)據(jù)截圖。

深度分析

同時(shí)，黑客還發(fā)布了一張華爾街網(wǎng)站存在漏洞的截圖。

通過(guò)上面的截圖我們看到這是讀取了passwd文件的內(nèi)容。從地址欄末尾的%27+unio可以推測(cè)出這是一個(gè)支持union的sql注入漏洞。當(dāng)然，具體的地址和參數(shù)給打碼了。不過(guò)從上圖中的標(biāo)簽名我們可以看到一點(diǎn)蛛絲馬跡。如下圖：標(biāo)簽名顯示的跟地址欄是不一致的。

測(cè)試一下就可以發(fā)現(xiàn)。標(biāo)簽頁(yè)這里顯示的應(yīng)該是地址欄完全一致的URL。所以，可以推測(cè)這哥們?cè)诮貓D的時(shí)候是把子域名去掉了。這應(yīng)該是graphicsweb開頭的一個(gè)子域名。

接著，我們看view-source標(biāo)簽的前一個(gè)標(biāo)簽顯示W(wǎng)SJ InfoMap Preview。正常情況下，view source的時(shí)候，是在新的標(biāo)簽頁(yè)打開的。所以，這個(gè)WSJ InfoMaP Preview的標(biāo)簽頁(yè)顯示的很可能就是漏洞存在的頁(yè)面。而標(biāo)簽名顯示的其實(shí)是網(wǎng)頁(yè)源碼中title部分的內(nèi)容，如下圖：

接下來(lái)在萬(wàn)能的Google中搜索: site:wsj.com intitle:wsj infomap preview。

可以找到類似這樣的url：http://graphicsweb.wsj.com/documents/WSJFusionMaps/WSJFusionMap.php?mapName=foodstamp0511 當(dāng)然，這個(gè)網(wǎng)站現(xiàn)在已經(jīng)無(wú)法訪問(wèn)了。

這里是一個(gè)graphicsweb的子域名。正好驗(yàn)證了之前的猜測(cè)。而根據(jù)打碼中露出的黑點(diǎn)和文件讀取使用的變量名mapname，猜測(cè)就是這個(gè)參數(shù)存在漏洞。

分析到這里可以初步下一個(gè)結(jié)論，W0rm發(fā)現(xiàn)了華爾街日?qǐng)?bào)graphicsweb這個(gè)子域名的一個(gè)SQL漏洞。子站的sql注入能否讀到主站的數(shù)據(jù)庫(kù)，我們還不好說(shuō)。

22日，華爾街日?qǐng)?bào)發(fā)表一篇文章稱由于網(wǎng)絡(luò)攻擊，華爾街日?qǐng)?bào)下線了一些計(jì)算機(jī)系統(tǒng)。官方發(fā)言人表示并沒(méi)有證據(jù)表明客戶數(shù)據(jù)受影響。文中前半部分說(shuō)為了隔離可能的攻擊，他們下線了華爾街日?qǐng)?bào)的圖像系統(tǒng)(graphics systems)。(這個(gè)說(shuō)法也印證了我們上面分析的子域名問(wèn)題。)后半部分就是對(duì)華爾街日?qǐng)?bào)的這個(gè)官方發(fā)言赤果果的打臉了。文中說(shuō)一個(gè)位于洛杉磯的安全團(tuán)隊(duì)發(fā)現(xiàn)了攻擊者利用的漏洞，這個(gè)漏洞是一個(gè)地圖相關(guān)的圖像數(shù)據(jù)庫(kù)，利用這個(gè)漏洞可以訪問(wèn)wsj.com服務(wù)器上的任意數(shù)據(jù)庫(kù)，一共有20多個(gè)數(shù)據(jù)庫(kù)之多。

看到這里，很可能的情況就是洛杉磯的安全團(tuán)隊(duì)根據(jù)攻擊者的截圖找到了漏洞的點(diǎn)，并且進(jìn)行了測(cè)試。如果數(shù)據(jù)庫(kù)的權(quán)限真的沒(méi)有做好控制，那么華爾街日?qǐng)?bào)的數(shù)據(jù)庫(kù)很可能已經(jīng)泄露了。