爆猛料:秘密真成了“无秘”!

业界
2014
12/05
11:43
陈留
分享
评论

刚刚在微博上以为叫 ringzero的安全从业者给了一张截图,看起来像是无密的后台(真假未知),并发表了内容 #秘密# 细节咱们7月乌云见!!!

其实远远在这个之前,我就已经从个人消息途径里打听到了秘密被拖库的事, 如果库都被拖了,那么后台泄露自然是很容易的事了。 由于后台截图不全,并不能知道发布人的真实信息是否能看见, 也不清楚通过后台是否可以获得webshell乃至服务器权限。 就我个人的推测,这次爆料的动机可能有以下几种:

某黑客早已拖库得手了,玩服务器也玩腻了, 于是就公开让行业内震精一下。

得到后台权限,但是找不到可以拿shell的点,又懒得去搞apt,于是就公开,这个可能性比较小。

某大牛获得了多个漏洞,先小范围公开爆料一个危害等级低的, 或者是告诉了某些黑客朋友,这些朋友中间有人抖了出来。

最近匿名社交打得很厉害,于是黑客成为了竞争中的兵器,在已拖库的前提下,爆料漏洞,可以起到公关上震慑的效果,如果是这个可能性的话,黑客可能掌握了非常多的商业机密和用户隐私,很可能有很多后续问题。无秘不认真处理的话,还会有更多问题爆料出来。

无密的这个漏洞给人感觉的价值还是不小的,至少那些xx门的主角都想知道是谁黑了自己。前一段时间传言说投资人争相投资无秘就是为了看那些匿名爆料者的真实身份。

黑掉一个匿名社交网站有多难? 用一句废话来说就是只要是人设计的产品都有漏洞。 移动客户端只是用来和接口进行交互的, 最终还是需要一个server来进行交互, 不过如果只是生成接口的server, 除非有像上次携程那样的疏忽(其实可能性不小),否则的话可简单利用的场景还是不多的, 但是如果有一个web版的后台可就不一样了。

比方说,如果存在一个持久型xss,黑客提交一个xss脚本到消息里面,再让管理员以某种方式浏览这条消息,这时候就容易得到管理员的隐私,从而可以用来欺骗后台直接得到管理权限, 这时候还有一条命,如果后台存在可获得webshell的漏洞,那就全玩完了。

匿名社交网站低廉的开发成本决定了安全性不会太高, 上述这个方法只是众多入侵手段的一种,即便不能入侵服务器,也有很多方法获得用户隐私,当这个隐私性价比很高的时候, 比如在媒体或者投资机构周围进行数据嗅探,甚至中间人攻击,一样会有黑客去这么做。 匿名社交在目前看来是有隐私安全风险的,如果你的真实身份对比你爆料的内容来说很敏感的话,使用时一定要谨慎。

THE END
广告、内容合作请点击这里 寻求合作
秘密 无秘
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表电商之家的观点和立场。

相关热点

这种定向和遏制的一大特点,就是把所有行业内的资源都集中到“主渠道”中来,围绕主渠道打造生态系统。主渠道的优势不仅仅资源上,更多的是行业方向引导、各种概念引领、话语权、精神优势等等,于是慢慢出现渠道为王的局面。
业界
每年的 双11大战 都能诞生一批类似 吃土 、 剁手 等网络新词,而今年早早开启求攻略、薅福利的网友们也再次制造网络新词 薅猫毛 。天猫双11的玩家们,他们本着薅到就是省到、省
业界
今年以来,跨境电商成为发展的一个新风口,伴随跨境电商产业朝着 买全球卖全球 的目标迈进,用户通过跨境电商渠道就可以足不出户买卖全球质优价廉的商品。当然,传统电商从业者
业界
互联网新生代巨头TMD之一的美团又出事了,真是让人无语。 一名美团送餐员在送餐途中打开客人饭菜,吃了两口又吐在了里面,随后正常派送。此事一经曝出,立刻在网上引起轩
业界
传统上,AB双重股权结构股票被认为是与 同股同权 ( 一股一票 )相比,不利于外部分散股东权益保护的股票发行模式。例如,在哈佛大学施莱佛教授等完成的著名的主要国家和地区投资者权
业界

相关推荐

1
3