顯示廣告
隱藏 ✕
※ 本文為 Jaies 轉寄自 ptt.cc 更新時間: 2013-04-09 00:39:51
看板 Soft_Job
作者 JokerCatz (JokerCatz)
標題 Re: [討論] 維護者、道德與安全
時間 Wed Feb 20 10:52:05 2013


A...首先抱歉其實不太會用BBS

"城邦網留言「囧」暱稱 熱心駭客獲緩起訴"
http://0rz.tw/LIDpl
城邦網留言「囧」暱稱熱心駭客獲緩起訴 | 即時新聞 | 20130219 | 蘋果日報
[圖]
28歲的劉姓網頁工程師去年發現城邦原創公司旗下「POPO原創市集」、「起點中文網」網頁安全有漏洞,熱心發電子郵件告知城邦公司,但發現城邦遲未改善,劉男竟在去年11月7日化身駭客,以「跨網站指令碼」(C ...
 

我是這篇新聞的作者與被告劉先生

這邊大概簡述一下來龍去脈和始末

首先,我是一個Rails的開發工程師,且並不以攻擊為樂,畢竟主要的工作是防御者
而非攻擊者


我有個在城邦工作的朋友,某一天丟了一個他新做的網頁:起點中文網
我測試了一下,發覺有非常嚴重的XSS漏洞,搜尋列亂下語法都會過
亂打一下就可以塞個miku的圖片進去之類的

他的回覆是因為上級和設計部門,也就是主事者說不能關,要給人玩HTML語法
我這邊對他說我願意提供程式,讓使用者可以玩基本的HTML,但JavaScript絕對不行
可是回覆是說...一定要給人玩,全部,不能關
後續才發現,不止起點中文網,連他們最大的POPO原創都是這個情況,留言板
搜尋列,甚至暱稱輸入的部分全部都沒擋


於是我這邊自作主張的說一定會讓他們知道嚴重性,因次發動的第一次的攻擊

大概就是兩行很簡單的jQuery,丟個post去他們的後台,讓使用者自己幫自己換暱稱,
格式為『囧+帳號名』,然而因為不想重複感染過渡擾民,所以有加cookie判定
(如果有flag就不會重複執行),當然因為沒偷東西,所以也沒掩飾IP
連暱稱都用我常用的就是

感染人數無法判斷,不過大約200人左右,當然這聯入侵都稱不上
只能說是惡作劇的部分,完事後發信給對方,說他們有很嚴重的問題請改正
內容包括攻擊手法和程式碼和修正的結果

隔天,我看到類似這樣欲蓋彌彰的做法
<script>jQuery(function($){...我的code...})</script>
<script>//jQuery(function($){...被修正的code...}</script>

okay,就這樣,之後也完全沒有回覆,再次詢問內部工程師,他說沒辦法
真的不能改,而且甚至有前例可循,類似HTML被亂改和Logo被改掉
他們也沒辦法,就是要開,因為長官說使用者會問為何之前的功能不能用了?


所以在URP上公佈,並規劃了第二次攻擊

第二次惡作劇的內容大概是寫個會自我感染且釣魚手法的投影片Script
1.如果是登入會員,會詢問密碼,內容為:
  "請再次輸入您的密碼,來享受POPO推出的新安全閱讀環境"(大概是醬)
  然後還會去後台驗證使用者的密碼,錯誤還會出現"請再輸入一次"
2.如果(1)取到,將密碼編碼成類似"W*****n",塞進其中一個投影片並清除暫存密碼
3.不管是否有經過(1),都會繼續進行投影片的動作,而投影片看完一樣塞入cookie
  一個flag不重新執行投影片動作,不過該書本的留言區會被閉鎖(一個貓咪圖案)
  為了不讓該script因留言分頁而不見,點擊貓咪圖案還可以再看一次

4.使用者如為登入會員,於(3)執行時,會複製自己的code到首頁和隨機的書本內

anyway,因為有複製能力,整個站很快就充滿著code...

隔天早上可以觀看到對方有清理的動作,清理的方式是...
<script src="xxx/xxx.js"></script> //清理前
<script src="xxx/xxx.j"></script> //清理後

然而...因為該code有自我感染能力,所以可能還有人在看,簡單的來說就是清不完
所以才在中午時全站關站維修之類的


anyway之後就是無盡有趣的爆點了...警察和檢察官那邊的...
大概就是一票人說我多管閒事...管他去死...去台北市刑大吃便當...和他們有說有笑...
然後偵察庭檢察官打對方臉...還說市刑大超幫我說話的,有的沒的X"DDD


anyway目前手邊還有很多他們系統的漏洞,不過至少最大的那個已經被我身先士卒的
擋掉了,而他們後來因為安全性而罔顧了自由性,那...就是他們自己選擇的做法就是了
我本來對這個網站有非常多的期許,可以做得更好,更有趣,不過看來他們這樣的風氣
,也就是嚴重官僚而非平行溝通的部分,自己真的不能苟同就是了



我從頭到尾總共發超過四封,超過一萬字到他們的客服,包括弱點和相關內容
他們只有一封回我

{   Joker Catz  您好

    您的來信站方已收到,本件因已進入司法偵查程序,故已轉由本部處理。
    由於本件將於2月4日至地檢署開庭,如您有任何意見表達
    可於當日與本公司代表當面討論。

    城邦媒體控股集團  法務部   }

這就是到目前我所知道的POPO,你呢?

--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.35.31.145
LaPass:推..... 我一直有在噗浪上追你的訊息1F 02/20 10:54
descent:那你只要寫悔過書就好了嗎2F 02/20 11:01
JokerCatz:爆笑悔過書還沒寄出,40小時志工通知還沒來3F 02/20 11:05
JokerCatz:對了,投影片在這http://0rz.tw/aJwQQ
hSATAC:幫推...5F 02/20 11:13
TonyQ:第二次那算是惡作劇?6F 02/20 11:35
TonyQ:看來你的道德標準跟我差距很大。
LaPass:會有法律問題的是第一次,第二次在法律上反而沒問題.....8F 02/20 11:37
LaPass:因次第一次有改到別人的資料 (暱稱) 第二次就只是顯示文字
TonyQ:你看漏了吧,第二次有冒用使用者身份發表。10F 02/20 11:39
LaPass:不過我覺得關掉別人留言區可能也會有事11F 02/20 11:39
LaPass:喔... 看到了
JokerCatz:檢察官問對方要告哪條,第二次無罪,只能告第一次13F 02/20 11:48
JokerCatz:不管如何檢察官希望到他那邊就擋掉,所以判緩起訴
JokerCatz:道德標準?亂版兩天VS金流個資被偷光?
DeathTemp:推你好心16F 02/20 11:54
TonyQ:@JokerCatz 金流個資被偷光自然公司會付出代價。17F 02/20 11:55
TonyQ:鬧版兩天自然也有鬧版兩天公司付出的代價跟你付出的代價
TonyQ:我不會支持城邦這種修安全性漏洞的態度,但我也不會認同你把
TonyQ:這個漏洞這樣使用的態度與方式。
sawang:推,你實在太酷了 XD21F 02/20 11:57
JokerCatz:@TonyQ所以這次讓我學到,要不就隱藏身份亂版,要不就22F 02/20 12:01
JokerCatz:要不就管他去死,這是這次事件教我的事情,不是?
JokerCatz:如果第一次就回信就修正何來的第二次?我甚至還詢問過:
JokerCatz:『你們修好XSS了沒』,我等到的只有不修,就是不修
shortoneal:講這些只是自我滿足而已吧,你做了那麼多,他們就修了?26F 02/20 12:28
shortoneal:你該做的都做了,沒必要自己跳下水了
shortoneal:他們態度你很清楚了,"不修",個資偷光? 關我屁事
anonymous7:沒必要自己跳下水+1 他要爛就讓他爛29F 02/20 12:37
liddle:這種行為欠缺對別人的尊重,人家要留漏洞也是決策的結果30F 02/20 12:39
liddle:他們自己要負擔決策的責任。可是這並不代表你可以幫他們
calqlus:從這件事情來看就知道資安形同虛設32F 02/20 12:41
liddle:下決定。難道有人強制你過"健康"的生活你會欣然接受嗎?33F 02/20 12:42
j129008:應該比喻成醫生警告你再抽煙會死這樣吧34F 02/20 12:48
j129008:但是如果那個人真的想自殺強迫他活著也是有問題的
j129008:所以以後有人想自殺就讓他去吧(?)
mervynW:法官對你客氣了37F 02/20 12:55
JokerCatz:今天要寄出悔過書和五個重大缺失,就推文者言看來算了..38F 02/20 13:02
JokerCatz:不管如何事件已經到終點,而...也讓大家看笑話了就是
sayya2311:聽起來城邦若不告你還真的對受影響使用者很難交待啊...40F 02/20 13:06
sayya2311:可惜好心做壞事, 下回試著把好心用在其它地方吧...
TonyQ:@JokerCatz 你很重要嗎? 你哪位?42F 02/20 13:16
TonyQ:這個議題是重要,但是我不覺得他重要到如果對方不理你意見
TonyQ:就要被你報復。
TonyQ:你今天作那個投影片,把密碼拿來展示,這也是一種危險行為
TonyQ:而且這個危險行為是你設計的。
TonyQ:你如果真的覺得你毫無問題跟責任,我覺得那是你的自由,但
TonyQ:作為一個 programmer ,我無法認同、鼓勵你的行為。
TonyQ:As the result , you are a cracker , not a hacker. for me
TonyQ:當然我的意見可能沒有那麼重要,愛看不看基本上你有你的自由
luciferii:一個人愛不愛秀, 道德觀怎樣想法怎樣, 我想很難改51F 02/20 13:25
luciferii:我只能說一句, 愛玩踩線就要有被告的心理準備
luciferii:你作的事跟Samy Kamkar當年對 myspace作的一模一樣
luciferii:他被判三年禁用電腦...你只勞動服務和寫篇唬爛文就了事
luciferii:該知道是僥倖而不是沾沾自喜..
JokerCatz:我最之前就有說了,單純因為朋友在那邊做,被壓榨之類的56F 02/20 13:35
JokerCatz:還有太多隱情沒有說出來,我自己提供的證據也比對方多
JokerCatz:裡面也有說我並不以攻擊為樂,所以請鞭小力點Orz"
JokerCatz:第二次主要是不希望對方再次粉飾太平,也就這樣而已
JokerCatz:然而事情也都結束了,再多的事後諸葛怎樣的都無濟於事
JokerCatz:至於如TonyQ所言,我真的是no body,so,希望落幕而已
lance70176:其實我覺得是我 我也會這樣做吧...只是會隱藏IP就是62F 02/20 13:45
yauhh:看完之後真覺得自己犯賤真的蠻無聊的. 你朋友城邦那邊都說63F 02/20 13:54
yauhh:上司那邊動不了,你還規劃第二次攻擊,究竟是想要教導誰?
yauhh:他們MIS可能有臨時處理掉,但是因為卡在上司壓著,來不及去
yauhh:弄一些什麼補救方案,要關不能關,要改不能改. 而你卻自顧自的
yauhh:再去弄他們,不知道你自己的問題在哪裏.
yauhh:結果可能會是跟你一樣的工程師比較肚爛你吧.
michaelchen1:原PO樂心不過在台灣就囧69F 02/20 14:02
michaelchen1:    熱才對囧
hechian:下次乖乖的讓別人去dump他們的資料就好了71F 02/20 15:14
hechian:甭管事啦你XD
edward13:雖然不推你的作法 但還是推你的熱血 唯有衝撞才能前進=3=73F 02/20 15:31
twk:感想: 被告和勞動服務是基本~ 也許應該罰更重一點~74F 02/20 16:44
lovelycateye:我覺得你作法還是不對,何不跟他們談筆生意更好?75F 02/20 18:20
lovelycateye:不過也還是要推你的熱心XD
jennya:熱心對了 方法錯了77F 02/20 23:34
andymai:@@ 台灣版的"終極警探4.0"?台灣的麥克連在哪? 做法其實已78F 02/21 03:51
andymai:經過頭了~這個世界有很多奇怪的人、事、物~不是自己認為正
andymai:義的事就能伸張~尤其是被害者堅決不要的時候~因為除非那是
andymai:你的家人~不然幾乎能肯定不但救不了還會被反咬一口~正所謂
andymai:"神仙難救無命客"~自己不要命的~神仙都救不了! 另外love大
andymai:的做法~個人比較贊同!如果會利用話術談成~不僅能幫忙~還能
andymai:賺錢~實在是一兼二顧!!!
cyr1216:我比較想知道有這種性格的技術人員 一般公司到底喜不喜歡85F 02/21 12:22
cyr1216:就是技術不錯但不聽他的 就搞破壞 或是只想要後知後覺但
cyr1216:出包會設法修正補洞的人...
luciferii:有工作需要前者,有工作需要後者,要看你們公司需要哪種88F 02/21 17:16
bndan:"然而因為不想重複感染過渡擾民,所以有加cookie判定" <- XD89F 02/21 21:59
likesea:你真的很無聊,反正大概爆了也不會怎麼樣的才不會想改。90F 02/22 01:28
likesea:資料又不值錢,資料大概都有備份,爆了就回復就算了吧...
likesea:想當英雄,也找點值得的事情,人家不理你還管,吃飽太閒
Assyla:看來不要去城邦比較好,安全性這麼低的網站,誰知道會不會93F 02/23 07:05
Assyla:有一天上去買書,結果有人打電話說要去提款機前面解除分期

※ Last modified: 02/23/2013 07:06:12

--
※ 看板: Jaies 文章推薦值: 1 目前人氣: 0 累積人氣: 924 
※ 本文也出現在看板: FW BadApple Soft_Job
分享網址: 複製 已複製
( ̄︶ ̄)b Jaies 說讚!
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇