爆猛料:秘密真成了“无秘”!业界
刚刚在微博上以为叫 ringzero的安全从业者给了一张截图,看起来像是无密的后台(真假未知),并发表了内容——#秘密# 细节咱们7月乌云见!!!
其实远远在这个之前,我就已经从个人消息途径里打听到了秘密被拖库的事, 如果库都被拖了,那么后台泄露自然是很容易的事了。 由于后台截图不全,并不能知道发布人的真实信息是否能看见, 也不清楚通过后台是否可以获得webshell乃至服务器权限。 就我个人的推测,这次爆料的动机可能有以下几种:
某黑客早已拖库得手了,玩服务器也玩腻了, 于是就公开让行业内震精一下。
得到后台权限,但是找不到可以拿shell的点,又懒得去搞apt,于是就公开,这个可能性比较小。
某大牛获得了多个漏洞,先小范围公开爆料一个危害等级低的, 或者是告诉了某些黑客朋友,这些朋友中间有人抖了出来。
最近匿名社交打得很厉害,于是黑客成为了竞争中的兵器,在已拖库的前提下,爆料漏洞,可以起到公关上震慑的效果,如果是这个可能性的话,黑客可能掌握了非常多的商业机密和用户隐私,很可能有很多后续问题。无秘不认真处理的话,还会有更多问题爆料出来。
无密的这个漏洞给人感觉的价值还是不小的,至少那些xx门的主角都想知道是谁黑了自己。前一段时间传言说sands金沙游戏官网 人争相投资无秘就是为了看那些匿名爆料者的真实身份。
黑掉一个匿名社交网站有多难? 用一句废话来说就是只要是人设计的产品都有漏洞。 移动客户端只是用来和接口进行交互的, 最终还是需要一个server来进行交互, 不过如果只是生成接口的server, 除非有像上次携程那样的疏忽(其实可能性不小),否则的话可简单利用的场景还是不多的, 但是如果有一个web版的后台可就不一样了。
比方说,如果存在一个持久型xss,黑客提交一个xss脚本到消息里面,再让管理员以某种方式浏览这条消息,这时候就容易得到管理员的隐私,从而可以用来欺骗后台直接得到管理权限, 这时候还有一条命,如果后台存在可获得webshell的漏洞,那就全玩完了。
匿名社交网站低廉的开发成本决定了安全性不会太高, 上述这个方法只是众多入侵手段的一种,即便不能入侵服务器,也有很多方法获得用户隐私,当这个隐私性价比很高的时候, 比如在媒体或者投资机构周围进行数据嗅探,甚至中间人攻击,一样会有黑客去这么做。 匿名社交在目前看来是有隐私安全风险的,如果你的真实身份对比你爆料的内容来说很敏感的话,使用时一定要谨慎。
1.金沙手机网投app 遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.金沙手机网投app 的原创文章,请转载时务必注明文章作者和"来源:金沙手机网投app ",不尊重原创的行为金沙手机网投app 或将追究责任;3.作者投稿可能会经金沙手机网投app 编辑修改或补充。