刚刚在微博上一位叫 ringzero的安全从业者给了一张截图,看起来像是无密的后台(真假未知),并发表了内容——#秘密# 细节咱们7月乌云见!!!
其实远远在这个之前,我就已经从个人消息途径里打听到了秘密被拖库的事, 如果库都被拖了,那么后台泄露自然是很容易的事了。 由于后台截图不全,并不能知道发布人的真实信息是否能看见, 也不清楚通过后台是否可以获得webshell乃至服务器权限。 就我个人的推测,这次爆料的动机可能有以下几种:
某黑客早已拖库得手了,玩服务器也玩腻了, 于是就公开让行业内震精一下。 得到后台权限,但是找不到可以拿shell的点,又懒得去搞apt,于是就公开,这个可能性比较小。 某大牛获得了多个漏洞,先小范围公开爆料一个危害等级低的, 或者是告诉了某些黑客朋友,这些朋友中间有人抖了出来。 最近匿名社交打得很厉害,于是黑客成为了竞争中的兵器,在已拖库的前提下,爆料漏洞,可以起到公关上震慑的效果,如果是这个可能性的话,黑客可能掌握了非常多的商业机密和用户隐私,很可能有很多后续问题。无秘不认真处理的话,还会有更多问题爆料出来。
无密的这个漏洞给人感觉的价值还是不小的,至少那些xx门的主角都想知道是谁黑了自己。前一段时间传言说投资人争相投资无秘就是为了看那些匿名爆料者的真实身份。
黑掉一个匿名社交网站有多难? 用一句废话来说就是只要是人设计的产品都有漏洞。 移动客户端只是用来和接口进行交互的, 最终还是需要一个server来进行交互, 不过如果只是生成接口的server, 除非有像上次携程那样的疏忽(其实可能性不小),否则的话可简单利用的场景还是不多的, 但是如果有一个web版的后台可就不一样了。
比方说,如果存在一个持久型xss,黑客提交一个xss脚本到消息里面,再让管理员以某种方式浏览这条消息,这时候就容易得到管理员的隐私,从而可以用来欺骗后台直接得到管理权限, 这时候还有一条命,如果后台存在可获得webshell的漏洞,那就全玩完了。
匿名社交网站低廉的开发成本决定了安全性不会太高, 上述这个方法只是众多入侵手段的一种,即便不能入侵服务器,也有很多方法获得用户隐私,当这个隐私性价比很高的时候, 比如在媒体或者投资机构周围进行数据嗅探,甚至中间人攻击,一样会有黑客去这么做。 匿名社交在目前看来是有隐私安全风险的,如果你的真实身份对比你爆料的内容来说很敏感的话,使用时一定要谨慎。
|