分類: 問答 常識(shí)詞典 編輯 : 常識(shí) 發(fā)布 : 02-13

閱讀 :281

關(guān)于正流行于人人網(wǎng)的站內(nèi)信惡意代碼，是如何發(fā)生的？1.這串代碼的作用僅僅是泄露隱私和-惡意代碼嗎？2.手機(jī)點(diǎn)開站內(nèi)信也會(huì)產(chǎn)生同樣作用嗎？3.人人網(wǎng)站內(nèi)信的安全漏洞早有耳聞，為什么未能預(yù)防？4.這次惡意代碼事件對(duì)人人網(wǎng)會(huì)造成多大的影響？5.編寫惡意代碼和制造這起事件是qiutuan.net嗎？這是一家怎樣的組織？動(dòng)機(jī)如何？1 個(gè)答案

答案 1：

1. 代碼的主要目的目前看來是收集用戶隱私。-惡意代碼并不能給攻擊者提供直接的利益，這僅僅是web蠕蟲傳播的必要手段。2. 需要看使用的是哪種客戶端，使用手機(jī)瀏覽器訪問的話，如果js引擎啟用，那么會(huì)產(chǎn)生同樣的效果。3. 從蠕蟲代碼上看是很明顯的站內(nèi)信xss觸發(fā)執(zhí)行，利用api csrf漏洞進(jìn)行傳播，尤其是后者造成了大量的自動(dòng)傳播。但是這個(gè)漏洞如果在早期的架構(gòu)設(shè)計(jì)上沒有很好考慮的話，后期改動(dòng)工作量很大。除非引起管理團(tuán)隊(duì)足夠重視或者產(chǎn)生嚴(yán)重后果，否則很難把這個(gè)問題提到優(yōu)先級(jí)上。這是諸多互聯(lián)網(wǎng)產(chǎn)品安全上的通病。Facebook早期-api也有類似的csrf問題，不過很快就得到修正。新浪微博的早期版本在設(shè)計(jì)上就非常注意csrf問題，微博的發(fā)布、轉(zhuǎn)發(fā)、評(píng)論以及私信等功能都做了anti-csrf token處理，所以沒有類似問題。但是據(jù)我所知，國內(nèi)其它大的互聯(lián)網(wǎng)廠商有類似問題的不在少數(shù)，多的不能透漏了。前不久美國“-”事件的主要起因還是由于GMail的一個(gè)類似漏洞，Google尚且如此，其它公司就不要說了。這個(gè)需要有專業(yè)的應(yīng)用安全人士來搞。順便說一句，人人的站內(nèi)信發(fā)送api使用的是facebook的代碼，不過facebook在頁面處理上做了anti-csrf處理，人人的程序員沒抄全吧？4. 不知道。非市場(chǎng)專家，不亂發(fā)言。5. 根據(jù)經(jīng)驗(yàn)分析我傾向于此次事件的具體執(zhí)行是單個(gè)的個(gè)人行為。qiutuan.net的注冊(cè)信息都是虛假信息，-在美國，這個(gè)無需多說。-商是godaddy，主機(jī)提供商是brinkster。都是很難在國內(nèi)查到注冊(cè)者真實(shí)信息的提供商。-時(shí)間為4月6日，很明顯應(yīng)該是專門為此次攻擊準(zhǔn)備的。從代碼風(fēng)格和函數(shù)命名方式上看，是偏應(yīng)用層的攻擊者，年齡在30歲以下。如果我是人人網(wǎng)的工程師，借助公司的一些力量理論上還是有希望找到幕后黑手。當(dāng)然這個(gè)就是很蛋疼的事情了，你漏洞那么大，不利用一下才是怪事，只是這次事情鬧得大了點(diǎn)。

下一篇:子女想象父母-的樣子會(huì)覺得不舒服？ 下一篇 【方向鍵 ( → )下一篇】

上一篇:人們喜歡賦予平常的日子于特殊的含義？這種文化難道不覺得很落后很無聊嗎？ 上一篇 【方向鍵 ( ← )上一篇】