华尔街日报(The Wall Street Journal)创刊于1889年,以超过200万份的发行量成为美国付费发行量最大的财经报纸。这份在美国纽约出版的报纸,着重在财经新闻的报道,其内容足以影响每日的国际经济活动。《华尔街日报》的读者主要为政治、经济、教育和医学界的重要人士,金融大亨和经营管理人员以及股票市场的投资者,其中包括20万名的董事长、总经理。
背景
7月21日一个id为w0rm的黑客发了一个出售华尔街日报数据库的twitter,售价为1BTC。并给出了一个数据截图。
深度分析
同时,黑客还发布了一张华尔街网站存在漏洞的截图。
通过上面的截图我们看到这是读取了passwd文件的内容。从地址栏末尾的%27+unio可以推测出这是一个支持union的sql注入漏洞。当然,具体的地址和参数给打码了。不过从上图中的标签名我们可以看到一点蛛丝马迹。如下图:标签名显示的跟地址栏是不一致的。
测试一下就可以发现。标签页这里显示的应该是地址栏完全一致的URL。所以,可以推测这哥们在截图的时候是把子域名去掉了。这应该是graphicsweb开头的一个子域名。
接着,我们看view-source标签的前一个标签显示WSJ InfoMap Preview。正常情况下,view source的时候,是在新的标签页打开的。所以,这个WSJ InfoMaP Preview的标签页显示的很可能就是漏洞存在的页面。而标签名显示的其实是网页源码中title部分的内容,如下图:
接下来在万能的Google中搜索: site:wsj.com intitle:wsj infomap preview。
可以找到类似这样的url:http://graphicsweb.wsj.com/documents/WSJFusionMaps/WSJFusionMap.php?mapName=foodstamp0511 当然,这个网站现在已经无法访问了。
这里是一个graphicsweb的子域名。正好验证了之前的猜测。而根据打码中露出的黑点和文件读取使用的变量名mapname,猜测就是这个参数存在漏洞。
分析到这里可以初步下一个结论,W0rm发现了华尔街日报graphicsweb这个子域名的一个SQL漏洞。子站的sql注入能否读到主站的数据库,我们还不好说。
22日,华尔街日报发表一篇文章称由于网络攻击,华尔街日报下线了一些计算机系统。官方发言人表示并没有证据表明客户数据受影响。文中前半部分说为了隔离可能的攻击,他们下线了华尔街日报的图像系统(graphics systems)。(这个说法也印证了我们上面分析的子域名问题。)后半部分就是对华尔街日报的这个官方发言赤果果的打脸了。文中说一个位于洛杉矶的安全团队发现了攻击者利用的漏洞,这个漏洞是一个地图相关的图像数据库,利用这个漏洞可以访问wsj.com服务器上的任意数据库,一共有20多个数据库之多。
看到这里,很可能的情况就是洛杉矶的安全团队根据攻击者的截图找到了漏洞的点,并且进行了测试。如果数据库的权限真的没有做好控制,那么华尔街日报的数据库很可能已经泄露了。