分類: 問答 常識詞典 編輯 : 常識 發(fā)布 : 02-13

閱讀 :292

關(guān)于正流行于人人網(wǎng)的站內(nèi)信惡意代碼，是如何發(fā)生的？1.這串代碼的作用僅僅是泄露隱私和-惡意代碼嗎？2.手機點開站內(nèi)信也會產(chǎn)生同樣作用嗎？3.人人網(wǎng)站內(nèi)信的安全漏洞早有耳聞，為什么未能預防？4.這次惡意代碼事件對人人網(wǎng)會造成多大的影響？5.編寫惡意代碼和制造這起事件是qiutuan.net嗎？這是一家怎樣的組織？動機如何？1 個答案

答案 1：

1. 代碼的主要目的目前看來是收集用戶隱私。-惡意代碼并不能給攻擊者提供直接的利益，這僅僅是web蠕蟲傳播的必要手段。2. 需要看使用的是哪種客戶端，使用手機瀏覽器訪問的話，如果js引擎啟用，那么會產(chǎn)生同樣的效果。3. 從蠕蟲代碼上看是很明顯的站內(nèi)信xss觸發(fā)執(zhí)行，利用api csrf漏洞進行傳播，尤其是后者造成了大量的自動傳播。但是這個漏洞如果在早期的架構(gòu)設計上沒有很好考慮的話，后期改動工作量很大。除非引起管理團隊足夠重視或者產(chǎn)生嚴重后果，否則很難把這個問題提到優(yōu)先級上。這是諸多互聯(lián)網(wǎng)產(chǎn)品安全上的通病。Facebook早期-api也有類似的csrf問題，不過很快就得到修正。新浪微博的早期版本在設計上就非常注意csrf問題，微博的發(fā)布、轉(zhuǎn)發(fā)、評論以及私信等功能都做了anti-csrf token處理，所以沒有類似問題。但是據(jù)我所知，國內(nèi)其它大的互聯(lián)網(wǎng)廠商有類似問題的不在少數(shù)，多的不能透漏了。前不久美國“-”事件的主要起因還是由于GMail的一個類似漏洞，Google尚且如此，其它公司就不要說了。這個需要有專業(yè)的應用安全人士來搞。順便說一句，人人的站內(nèi)信發(fā)送api使用的是facebook的代碼，不過facebook在頁面處理上做了anti-csrf處理，人人的程序員沒抄全吧？4. 不知道。非市場專家，不亂發(fā)言。5. 根據(jù)經(jīng)驗分析我傾向于此次事件的具體執(zhí)行是單個的個人行為。qiutuan.net的注冊信息都是虛假信息，-在美國，這個無需多說。-商是godaddy，主機提供商是brinkster。都是很難在國內(nèi)查到注冊者真實信息的提供商。-時間為4月6日，很明顯應該是專門為此次攻擊準備的。從代碼風格和函數(shù)命名方式上看，是偏應用層的攻擊者，年齡在30歲以下。如果我是人人網(wǎng)的工程師，借助公司的一些力量理論上還是有希望找到幕后黑手。當然這個就是很蛋疼的事情了，你漏洞那么大，不利用一下才是怪事，只是這次事情鬧得大了點。

下一篇:子女想象父母-的樣子會覺得不舒服？ 下一篇 【方向鍵 ( → )下一篇】

上一篇:人們喜歡賦予平常的日子于特殊的含義？這種文化難道不覺得很落后很無聊嗎？ 上一篇 【方向鍵 ( ← )上一篇】