4月9日消息，360網站安全檢測平臺今日發布漏洞警報稱，國內300余家大中型網站由于SVN使用不當，導致網站存在源代碼泄露隱患。一旦該漏洞被黑客利用，不僅這些網站會蒙受嚴重的經濟損失，數千萬網民的帳號密碼和個人資料可能也因此被黑客盜取。目前，360已向存在漏洞的網站發出報警郵件，并提供修復方案。

360網站安全檢測平臺服務網址：http://webscan.360.cn

據介紹，SVN（subversion）是程序員常用的源代碼版本管理軟件。一旦網站出現SVN漏洞，其危害遠比SQL注入等其它常見網站漏洞更為致命，因為黑客獲取到網站源代碼后，一方面是掠奪了網站的技術知識資產，另一方面，黑客還可通過源代碼分析其它安全漏洞，從而對網站服務器及用戶數據造成持續威脅。

圖1：svn及entries文件夾暴露于外網環境

經360安全工程師分析，造成SVN源代碼漏洞的主要原因是管理員操作不規范。"在使用SVN管理本地代碼過程中，會自動生成一個名為.svn的隱藏文件夾，其中包含重要的源代碼信息。但一些網站管理員在發布代碼時，不愿意使用'導出'功能，而是直接復制代碼文件夾到WEB服務器上，這就使.svn隱藏文件夾被暴露于外網環境，黑客可以借助其中包含的用于版本信息追蹤的'entries'文件，逐步摸清站點結構。"

圖2：源代碼文件副本暴露于外網環境

更嚴重的問題在于，SVN產生的.svn目錄下還包含了以.svn-base結尾的源代碼文件副本（低版本SVN具體路徑為text-base目錄，高版本SVN為pristine目錄），如果服務器沒有對此類后綴做解析，黑客則可以直接獲得文件源代碼。

鑒于SVN源代碼漏洞存在巨大風險，360網站安全檢測平臺已第一時間向存在漏洞的網站發送了報警郵件，并提供了修復建議：

一、立即刪除各級目錄下的.svn文件夾，并且在今后的svn代碼上線操作中使用其自帶的導出"Export"功能。

二、使用svn1.7及以上版本。