文章目录
[+]
vBulletin:被低估的网络平台漏洞攻击入口
可以说,论坛程序一贯都比较难以防护,由于须要处理大量传入的利用者输入,例如征采和发布论坛帖等操作,以及利用SQL资料库来存储所有发布的文章等等。而且论坛程序每每由小型开拓团队所掩护,因此,存在轻忽漏洞就难以避免了。
由vBulletin编写的论坛
(图片来自网络侵删)
同时,升级论坛软件常日是件不大略的任务,更新程序一样平常要花费一定韶光才会生效,进而影响论坛的正常运行,而这或许也是为什么大多数论坛管理员不会急速进行更新的缘故原由了。
以近期Clash of Kings被黑事宜为例,黑客攻击了一个未更新修补程序的漏洞,听说是由于该游戏论坛利用的是2013年的旧版本vBulletin,而且没有利用任何加密。在Ubuntu论坛和Warframe论坛被黑事宜中,攻击者利用了SQL注入漏洞,这也是不法黑客最喜好的工具之一。
从目前来看,利用旧版论坛软件或没有纵然更新补丁程序都会让遭受攻击的危险进一步扩大。如今年6月份,黑客从超过一千个热门论坛盗取了数万个帐号。根据入侵外泄关照网站LeakedSource发布的数据显示,数据透露的范围可能还要远远大于此前的预期。
然而攻击者一旦得手,便会节制论坛用户的详细信息资料,如用户名称、电子邮件地址、IP地址等等个人数据,进而为后续的定向攻击或电信诱骗供应长期的代价。例如,在巴西地下黑市,市内电话号码清单可以卖到317美元到1931美元之间。而在海内黑市上,一组电子邮件登录凭据可以卖到163美元的价格。在俄罗斯地下黑市,事情和个人电子邮件地址则可以卖到高达200美元。
