QSecurity 本月安全评论 ：2012 年 1 月号

编者按：2011 年底，国内一系列网站发生用户信息泄露事件，其波及面之广，影响和严重程度之深，如果将其称为中国互联网有史以来最大的一场灾难，恐不为过。安全问题，成为很多互联网企业必须要考虑的首要问题。

在此背景之下，InfoQ 中文站开辟“QSecurity”专栏，一方面定期介绍安全方面的动态，另一方面，也希望将一些安全方面的知识和理念传递给我们的读者，成为大家了解安全领域的桥梁。

重点安全事件回顾

80sec 感恩节事件分析

80sec 是国内著名的一个民间安全组织。2011 年感恩节的晚上，80sec 的网站遭遇了攻击，首页被入侵者成功篡改。80sec 在事后对本次攻击的应急处理以及事后响应做了一个完整的复盘，依靠入侵者留下的蛛丝马迹，基本还原了本次攻击的原貌。 这个复盘的结论事实上已经预言了现有互联网认证体系的崩溃。文章发表后不久，国内一系列社工库被公开，引发了大规模的互联网安全危机。对技术人员来说，领会一下 80sec 在这篇文章中所阐述的思路和结论，将会帮助你更加深刻地理解去年年底中国互联网界发生的那一系列密码泄露事件。

小米科技内网被成功渗透事件

2012 年 1 月 27 日，乌云漏洞平台公布了白帽子 Jannock 于 2011 年年底成功进入小米科技内网的渗透报告。这次渗透以一个已知的“不严重”，“可忽略”漏洞为起点，逐步深入。利用百折不挠的信心，机敏的社会工程学应用，一点点运气，再加上白帽子对自身的道德约束，使得这次渗透成为一个可以载入教科书的经典案例。

通过这个案例，你可以了解到黑客的思维方式是怎样的。

中文版 Putty 后门事件

知道创宇安全研究小组的分析报告已发布，推荐所有的技术团队管理者都来认真了解一下事情的来龙去脉。攻击者使用了非常原始但是极其有效的办法，在几个通用的管理工具中植入后门，并通过搜索引擎付费推广进行传播。最终获取到了大量的 服务器管理账户。这一事件值得所有的技术团队管理者以及企业内控部门予以高度重视。

本月重点安全漏洞

Linux 内核版本 2.6.x 本地提权漏洞

1 月 17 日，Linus Torvalds 亲自提交了一个 Patch 去修复这个漏洞。查看代码请猛击此处。

哈希冲突引发的拒绝服务攻击漏洞

具体详情在本期专栏的《哈希表之殇》文章中有详细描述。

本月安全技术更新

Apache Shiro 1.2.0 版本于 1 月 24 日正式发布。Apache Shiro 是一个号称“强大而且超级好用”的 Java 安全框架。其提供了包括 认证、授权、加密，以及会话管理在内的诸多安全功能。本月发布的 1.2.0 版本修 复了之前的一些 bug 并做了一些功能提升，应该说已经比较稳定了，推荐感兴趣 的朋友尝试一下。InfoQ 英文站也有一篇专门介绍Shiro 的文章。

作者简介：殷钧钧（ Joey Yin ），Web 开发者，某外企企业架构师。业余时间，他是一名白帽子，独立安全组织 OWASP 成员。主要关注的技术领域有应用安全、分布式系统架构、以及程序员的敏捷实践。个人博客： http://unclejoey.com 。