2013年3月15日 星期五

維護者、道德與安全 2

作者: JokerCatz (JokerCatz) 看板: Soft_Job
標題: Re: [討論] 維護者、道德與安全
時間: Wed Feb 20 10:52:05 2013

A...首先抱歉其實不太會用BBS

"城邦網留言「囧」暱稱 熱心駭客獲緩起訴"
http://0rz.tw/LIDpl


我是這篇新聞的作者與被告劉先生

這邊大概簡述一下來龍去脈和始末

首先,我是一個Rails的開發工程師,且並不以攻擊為樂,畢竟主要的工作是防御者
而非攻擊者


我有個在城邦工作的朋友,某一天丟了一個他新做的網頁:起點中文網
我測試了一下,發覺有非常嚴重的XSS漏洞,搜尋列亂下語法都會過
亂打一下就可以塞個miku的圖片進去之類的

他的回覆是因為上級和設計部門,也就是主事者說不能關,要給人玩HTML語法
我這邊對他說我願意提供程式,讓使用者可以玩基本的HTML,但JavaScript絕對不行
可是回覆是說...一定要給人玩,全部,不能關
後續才發現,不止起點中文網,連他們最大的POPO原創都是這個情況,留言板
搜尋列,甚至暱稱輸入的部分全部都沒擋


於是我這邊自作主張的說一定會讓他們知道嚴重性,因次發動的第一次的攻擊

大概就是兩行很簡單的jQuery,丟個post去他們的後台,讓使用者自己幫自己換暱稱,
格式為『囧+帳號名』,然而因為不想重複感染過渡擾民,所以有加cookie判定
(如果有flag就不會重複執行),當然因為沒偷東西,所以也沒掩飾IP
連暱稱都用我常用的就是

感染人數無法判斷,不過大約200人左右,當然這聯入侵都稱不上
只能說是惡作劇的部分,完事後發信給對方,說他們有很嚴重的問題請改正
內容包括攻擊手法和程式碼和修正的結果

隔天,我看到類似這樣欲蓋彌彰的做法



okay,就這樣,之後也完全沒有回覆,再次詢問內部工程師,他說沒辦法
真的不能改,而且甚至有前例可循,類似HTML被亂改和Logo被改掉
他們也沒辦法,就是要開,因為長官說使用者會問為何之前的功能不能用了?


所以在URP上公佈,並規劃了第二次攻擊

第二次惡作劇的內容大概是寫個會自我感染且釣魚手法的投影片Script
1.如果是登入會員,會詢問密碼,內容為:
  "請再次輸入您的密碼,來享受POPO推出的新安全閱讀環境"(大概是醬)
  然後還會去後台驗證使用者的密碼,錯誤還會出現"請再輸入一次"
2.如果(1)取到,將密碼編碼成類似"W*****n",塞進其中一個投影片並清除暫存密碼
3.不管是否有經過(1),都會繼續進行投影片的動作,而投影片看完一樣塞入cookie
  一個flag不重新執行投影片動作,不過該書本的留言區會被閉鎖(一個貓咪圖案)
  為了不讓該script因留言分頁而不見,點擊貓咪圖案還可以再看一次
4.使用者如為登入會員,於(3)執行時,會複製自己的code到首頁和隨機的書本內

anyway,因為有複製能力,整個站很快就充滿著code...

隔天早上可以觀看到對方有清理的動作,清理的方式是...
//清理前
//清理後

然而...因為該code有自我感染能力,所以可能還有人在看,簡單的來說就是清不完
所以才在中午時全站關站維修之類的


anyway之後就是無盡有趣的爆點了...警察和檢察官那邊的...
大概就是一票人說我多管閒事...管他去死...去台北市刑大吃便當...和他們有說有笑...
然後偵察庭檢察官打對方臉...還說市刑大超幫我說話的,有的沒的X"DDD


anyway目前手邊還有很多他們系統的漏洞,不過至少最大的那個已經被我身先士卒的
擋掉了,而他們後來因為安全性而罔顧了自由性,那...就是他們自己選擇的做法就是了
我本來對這個網站有非常多的期許,可以做得更好,更有趣,不過看來他們這樣的風氣
,也就是嚴重官僚而非平行溝通的部分,自己真的不能苟同就是了


我從頭到尾總共發超過四封,超過一萬字到他們的客服,包括弱點和相關內容
他們只有一封回我

{   Joker Catz  您好

    您的來信站方已收到,本件因已進入司法偵查程序,故已轉由本部處理。
    由於本件將於2月4日至地檢署開庭,如您有任何意見表達
    可於當日與本公司代表當面討論。

    城邦媒體控股集團  法務部   }

這就是到目前我所知道的POPO,你呢?

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.35.31.145
推 LaPass:推..... 我一直有在噗浪上追你的訊息                       02/20 10:54
推 descent:那你只要寫悔過書就好了嗎                                02/20 11:01
→ JokerCatz:爆笑悔過書還沒寄出,40小時志工通知還沒來              02/20 11:05
→ JokerCatz:對了,投影片在這http://0rz.tw/aJwQQ                   02/20 11:06
推 hSATAC:幫推...                                                  02/20 11:13
→ TonyQ:第二次那算是惡作劇?                                      02/20 11:35
→ TonyQ:看來你的道德標準跟我差距很大。                            02/20 11:35
推 LaPass:會有法律問題的是第一次,第二次在法律上反而沒問題.....    02/20 11:37
→ LaPass:因次第一次有改到別人的資料 (暱稱) 第二次就只是顯示文字   02/20 11:38
→ TonyQ:你看漏了吧,第二次有冒用使用者身份發表。                  02/20 11:39
→ LaPass:不過我覺得關掉別人留言區可能也會有事                     02/20 11:39
→ LaPass:喔... 看到了                                             02/20 11:40
→ JokerCatz:檢察官問對方要告哪條,第二次無罪,只能告第一次        02/20 11:48
→ JokerCatz:不管如何檢察官希望到他那邊就擋掉,所以判緩起訴        02/20 11:49
→ JokerCatz:道德標準?亂版兩天VS金流個資被偷光?                  02/20 11:50
推 DeathTemp:推你好心                                              02/20 11:54
→ TonyQ:@JokerCatz 金流個資被偷光自然公司會付出代價。             02/20 11:55
推 TonyQ:鬧版兩天自然也有鬧版兩天公司付出的代價跟你付出的代價      02/20 11:56
→ TonyQ:我不會支持城邦這種修安全性漏洞的態度,但我也不會認同你把  02/20 11:56
→ TonyQ:這個漏洞這樣使用的態度與方式。                            02/20 11:56
推 sawang:推,你實在太酷了 XD                                      02/20 11:57
→ JokerCatz:@TonyQ所以這次讓我學到,要不就隱藏身份亂版,要不就    02/20 12:01
→ JokerCatz:要不就管他去死,這是這次事件教我的事情,不是?        02/20 12:02
→ JokerCatz:如果第一次就回信就修正何來的第二次?我甚至還詢問過:  02/20 12:04
→ JokerCatz:『你們修好XSS了沒』,我等到的只有不修,就是不修       02/20 12:05
推 shortoneal:講這些只是自我滿足而已吧,你做了那麼多,他們就修了?  02/20 12:28
→ shortoneal:你該做的都做了,沒必要自己跳下水了                   02/20 12:28

沒有留言:

張貼留言

您好.本資料庫並非第一手資料.如果你有對文章作者的詢問,意見與需求,請自行找尋文章作者並提供意見,謝謝.