華爾街日報(The Wall Street Journal)創刊于1889年，以超過200萬份的發行量成為美國付費發行量最大的財經報紙。這份在美國紐約出版的報紙，著重在財經新聞的報道，其內容足以影響每日的國際經濟活動。《華爾街日報》的讀者主要為政治、經濟、教育和醫學界的重要人士，金融大亨和經營管理人員以及股票市場的投資者，其中包括20萬名的董事長、總經理。

背景

7月21日一個id為w0rm的黑客發了一個出售華爾街日報數據庫的twitter，售價為1BTC。并給出了一個數據截圖。

深度分析

同時，黑客還發布了一張華爾街網站存在漏洞的截圖。

通過上面的截圖我們看到這是讀取了passwd文件的內容。從地址欄末尾的%27+unio可以推測出這是一個支持union的sql注入漏洞。當然，具體的地址和參數給打碼了。不過從上圖中的標簽名我們可以看到一點蛛絲馬跡。如下圖：標簽名顯示的跟地址欄是不一致的。

測試一下就可以發現。標簽頁這里顯示的應該是地址欄完全一致的URL。所以，可以推測這哥們在截圖的時候是把子域名去掉了。這應該是graphicsweb開頭的一個子域名。

接著，我們看view-source標簽的前一個標簽顯示WSJ InfoMap Preview。正常情況下，view source的時候，是在新的標簽頁打開的。所以，這個WSJ InfoMaP Preview的標簽頁顯示的很可能就是漏洞存在的頁面。而標簽名顯示的其實是網頁源碼中title部分的內容，如下圖：

接下來在萬能的Google中搜索: site:wsj.com intitle:wsj infomap preview。

可以找到類似這樣的url：http://graphicsweb.wsj.com/documents/WSJFusionMaps/WSJFusionMap.php?mapName=foodstamp0511 當然，這個網站現在已經無法訪問了。

這里是一個graphicsweb的子域名。正好驗證了之前的猜測。而根據打碼中露出的黑點和文件讀取使用的變量名mapname，猜測就是這個參數存在漏洞。

分析到這里可以初步下一個結論，W0rm發現了華爾街日報graphicsweb這個子域名的一個SQL漏洞。子站的sql注入能否讀到主站的數據庫，我們還不好說。

22日，華爾街日報發表一篇文章稱由于網絡攻擊，華爾街日報下線了一些計算機系統。官方發言人表示并沒有證據表明客戶數據受影響。文中前半部分說為了隔離可能的攻擊，他們下線了華爾街日報的圖像系統(graphics systems)。(這個說法也印證了我們上面分析的子域名問題。)后半部分就是對華爾街日報的這個官方發言赤果果的打臉了。文中說一個位于洛杉磯的安全團隊發現了攻擊者利用的漏洞，這個漏洞是一個地圖相關的圖像數據庫，利用這個漏洞可以訪問wsj.com服務器上的任意數據庫，一共有20多個數據庫之多。

看到這里，很可能的情況就是洛杉磯的安全團隊根據攻擊者的截圖找到了漏洞的點，并且進行了測試。如果數據庫的權限真的沒有做好控制，那么華爾街日報的數據庫很可能已經泄露了。