分类: 问答 常识词典 编辑 : 常识 发布 : 02-13

阅读 :238

关于正流行于人人网的站内信恶意代码，是如何发生的？1.这串代码的作用仅仅是泄露隐私和-恶意代码吗？2.手机点开站内信也会产生同样作用吗？3.人人网站内信的安全漏洞早有耳闻，为什么未能预防？4.这次恶意代码事件对人人网会造成多大的影响？5.编写恶意代码和制造这起事件是qiutuan.net吗？这是一家怎样的组织？动机如何？1 个答案

答案 1：

1. 代码的主要目的目前看来是收集用户隐私。-恶意代码并不能给攻击者提供直接的利益，这仅仅是web蠕虫传播的必要手段。2. 需要看使用的是哪种客户端，使用手机浏览器访问的话，如果js引擎启用，那么会产生同样的效果。3. 从蠕虫代码上看是很明显的站内信xss触发执行，利用api csrf漏洞进行传播，尤其是后者造成了大量的自动传播。但是这个漏洞如果在早期的架构设计上没有很好考虑的话，后期改动工作量很大。除非引起管理团队足够重视或者产生严重后果，否则很难把这个问题提到优先级上。这是诸多互联网产品安全上的通病。Facebook早期-api也有类似的csrf问题，不过很快就得到修正。新浪微博的早期版本在设计上就非常注意csrf问题，微博的发布、转发、评论以及私信等功能都做了anti-csrf token处理，所以没有类似问题。但是据我所知，国内其它大的互联网厂商有类似问题的不在少数，多的不能透漏了。前不久美国“-”事件的主要起因还是由于GMail的一个类似漏洞，Google尚且如此，其它公司就不要说了。这个需要有专业的应用安全人士来搞。顺便说一句，人人的站内信发送api使用的是facebook的代码，不过facebook在页面处理上做了anti-csrf处理，人人的程序员没抄全吧？4. 不知道。非市场专家，不乱发言。5. 根据经验分析我倾向于此次事件的具体执行是单个的个人行为。qiutuan.net的注册信息都是虚假信息，-在美国，这个无需多说。-商是godaddy，主机提供商是brinkster。都是很难在国内查到注册者真实信息的提供商。-时间为4月6日，很明显应该是专门为此次攻击准备的。从代码风格和函数命名方式上看，是偏应用层的攻击者，年龄在30岁以下。如果我是人人网的工程师，借助公司的一些力量理论上还是有希望找到幕后黑手。当然这个就是很蛋疼的事情了，你漏洞那么大，不利用一下才是怪事，只是这次事情闹得大了点。

下一篇:子女想象父母-的样子会觉得不舒服？ 下一篇 【方向键 ( → )下一篇】

上一篇:人们喜欢赋予平常的日子于特殊的含义？这种文化难道不觉得很落后很无聊吗？ 上一篇 【方向键 ( ← )上一篇】