经过深入研究与证实,此次淫淫站内信风波总结一下

话说我第一次在solidot投稿居然成功了= =而且很快就发出去了……

首先就是这次漏洞的原理。我们知道<>等符号是需要转义的。如果不转义直接显示在HTML中会被浏览器看作普通的HTML代码,也就是说会当作语句执行。人人发站内信是会转义的,但是通过那个js脚本发送的就不会。开始我因此断定淫淫网的程序员是在客户端转义再发送的,我的投稿就这么写的。事实证明似乎没这么弱。不过看代码发现人人在提交站内信的时候会调用megaboxx.submit_prehook这个函数。我不知道这个是淫淫自己写的还是js或者DOM本身提供的,于是Google了一下,发现唯一的结果来自forum.developers.facebook.net……别的话我就不多说了。

总之看上去如果我没分析错,那么那个51.js使用的XN.JSON.build应该并不是普通发站内信会用到的,也就是说发站内信本来是不会使用AJAX的。这个函数的用途主要是在分享的时候给好友发站内信。至于为何这个盗资料代码的作者知道这个漏洞,是内部泄露还是因为抄袭了facebook因而近似开源还是不小心看出来的,我还不清楚。

能运行js意味着能做一切。获取信息、挂木马、DDoS攻击都可以做,只不过这次是偷数据罢了。

隐私是无价的,我觉得我们应该让人人有个说法,甚至可以考虑起诉。反正人家都要在米国IPO了,这事如果在美国发生了他们会很惨吧?而这次行为显然应该已经在任何国家都构成犯罪,无论是不是法制国家,无论法律是不是挡箭牌。其实我挺好奇这些资料能卖多少钱,要知道这可是几千万中国大学生的实名联系方式……

人人本身很多设计都是有巨大问题的,比如http://www.renren.com/listcards,完全就是白送啊……(现在已经关闭)还有删除发送记录用的是GET等等等等……当然隐私设置也是一直有问题的,比如分享会把你跟好友说的话显示在全局被所有分享的人看到,比如即使设置非好友看不了你的新鲜事也能在状态页面看到状态(那个药家鑫师妹还是师姐的,就是把向非好友显示的信息降到最低还是可以很轻松的在她的状态底下回话骂人)。这样的东西太多太多了,而facebook几乎没有这类的问题。

对于此次“行动”,可以看出此人从时间到内容都是精心策划的。一个名为51.js的文件显然就是为了五一准备的,在长假前一天而且是晚上开始,这样人人无法做出快速反应,用户也很难快速得到警告,媒体也不会第一时间发布消息。而站内信的内容更是非常“合理”——标题党吸引点击,由于网络质量不好以及获取并上传通讯录的数据需要一定的时间,特意加了一个视频作为缓兵之计防止你马上关掉,并注明“X分XX秒”有亮点……

至于此人的目的,除了卖钱还有没有其他的不得而知。但我觉得这种事情就算在人民都很淡定的天朝也不应该是一个小事,虽然这比蒙牛什么的看上去影响小一点……而这个漏洞显然要么“精心准备”要么就是内部人士干的(因为那个地方并不很常用)。

截至此文发表,校内在短时间关闭站内信功能后已经重新开放,不知道改了什么,但我刚才打开了那封站内信发现js代码依然可以执行……

你们这帮程序员想死嘛!


已发布

分类

来自

标签:

评论

  1. […] 4. 又被人挖出来copy了Facebook的代码。提交站内信调用的megaboxx.submit_prehook这个函数,被发现是来自forum.developers.facebook.net的。(来源) […]

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注