※ 本文為 Knuckles 轉寄自 ptt.cc 更新時間: 2013-04-09 00:39:50
看板 Soft_Job
作者 標題 Re: [討論] 維護者、道德與安全
時間 Wed Feb 20 10:52:05 2013
A...首先抱歉其實不太會用BBS
"城邦網留言「囧」暱稱 熱心駭客獲緩起訴"
http://0rz.tw/LIDpl
城邦網留言「囧」暱稱熱心駭客獲緩起訴 | 即時新聞 | 20130219 | 蘋果日報
28歲的劉姓網頁工程師去年發現城邦原創公司旗下「POPO原創市集」、「起點中文網」網頁安全有漏洞,熱心發電子郵件告知城邦公司,但發現城邦遲未改善,劉男竟在去年11月7日化身駭客,以「跨網站指令碼」(C ...
28歲的劉姓網頁工程師去年發現城邦原創公司旗下「POPO原創市集」、「起點中文網」網頁安全有漏洞,熱心發電子郵件告知城邦公司,但發現城邦遲未改善,劉男竟在去年11月7日化身駭客,以「跨網站指令碼」(C ...
我是這篇新聞的作者與被告劉先生
這邊大概簡述一下來龍去脈和始末
首先,我是一個Rails的開發工程師,且並不以攻擊為樂,畢竟主要的工作是防御者
而非攻擊者
我有個在城邦工作的朋友,某一天丟了一個他新做的網頁:起點中文網
我測試了一下,發覺有非常嚴重的XSS漏洞,搜尋列亂下語法都會過
亂打一下就可以塞個miku的圖片進去之類的
他的回覆是因為上級和設計部門,也就是主事者說不能關,要給人玩HTML語法
我這邊對他說我願意提供程式,讓使用者可以玩基本的HTML,但JavaScript絕對不行
可是回覆是說...一定要給人玩,全部,不能關
後續才發現,不止起點中文網,連他們最大的POPO原創都是這個情況,留言板
搜尋列,甚至暱稱輸入的部分全部都沒擋
於是我這邊自作主張的說一定會讓他們知道嚴重性,因次發動的第一次的攻擊
大概就是兩行很簡單的jQuery,丟個post去他們的後台,讓使用者自己幫自己換暱稱,
格式為『囧+帳號名』,然而因為不想重複感染過渡擾民,所以有加cookie判定
(如果有flag就不會重複執行),當然因為沒偷東西,所以也沒掩飾IP
連暱稱都用我常用的就是
感染人數無法判斷,不過大約200人左右,當然這聯入侵都稱不上
只能說是惡作劇的部分,完事後發信給對方,說他們有很嚴重的問題請改正
內容包括攻擊手法和程式碼和修正的結果
隔天,我看到類似這樣欲蓋彌彰的做法
<script>jQuery(function($){...我的code...})</script>
<script>//jQuery(function($){...被修正的code...}</script>
okay,就這樣,之後也完全沒有回覆,再次詢問內部工程師,他說沒辦法
真的不能改,而且甚至有前例可循,類似HTML被亂改和Logo被改掉
他們也沒辦法,就是要開,因為長官說使用者會問為何之前的功能不能用了?
所以在URP上公佈,並規劃了第二次攻擊
第二次惡作劇的內容大概是寫個會自我感染且釣魚手法的投影片Script
1.如果是登入會員,會詢問密碼,內容為:
"請再次輸入您的密碼,來享受POPO推出的新安全閱讀環境"(大概是醬)
然後還會去後台驗證使用者的密碼,錯誤還會出現"請再輸入一次"
2.如果(1)取到,將密碼編碼成類似"W*****n",塞進其中一個投影片並清除暫存密碼
3.不管是否有經過(1),都會繼續進行投影片的動作,而投影片看完一樣塞入cookie
一個flag不重新執行投影片動作,不過該書本的留言區會被閉鎖(一個貓咪圖案)
為了不讓該script因留言分頁而不見,點擊貓咪圖案還可以再看一次
一個flag不重新執行投影片動作,不過該書本的留言區會被閉鎖(一個貓咪圖案)
為了不讓該script因留言分頁而不見,點擊貓咪圖案還可以再看一次
4.使用者如為登入會員,於(3)執行時,會複製自己的code到首頁和隨機的書本內
anyway,因為有複製能力,整個站很快就充滿著code...
隔天早上可以觀看到對方有清理的動作,清理的方式是...
<script src="xxx/xxx.js"></script> //清理前
<script src="xxx/xxx.j"></script> //清理後
然而...因為該code有自我感染能力,所以可能還有人在看,簡單的來說就是清不完
所以才在中午時全站關站維修之類的
anyway之後就是無盡有趣的爆點了...警察和檢察官那邊的...
大概就是一票人說我多管閒事...管他去死...去台北市刑大吃便當...和他們有說有笑...
然後偵察庭檢察官打對方臉...還說市刑大超幫我說話的,有的沒的X"DDD
anyway目前手邊還有很多他們系統的漏洞,不過至少最大的那個已經被我身先士卒的
擋掉了,而他們後來因為安全性而罔顧了自由性,那...就是他們自己選擇的做法就是了
我本來對這個網站有非常多的期許,可以做得更好,更有趣,不過看來他們這樣的風氣
,也就是嚴重官僚而非平行溝通的部分,自己真的不能苟同就是了
我本來對這個網站有非常多的期許,可以做得更好,更有趣,不過看來他們這樣的風氣
,也就是嚴重官僚而非平行溝通的部分,自己真的不能苟同就是了
我從頭到尾總共發超過四封,超過一萬字到他們的客服,包括弱點和相關內容
他們只有一封回我
{ Joker Catz 您好
您的來信站方已收到,本件因已進入司法偵查程序,故已轉由本部處理。
由於本件將於2月4日至地檢署開庭,如您有任何意見表達
可於當日與本公司代表當面討論。
城邦媒體控股集團 法務部 }
這就是到目前我所知道的POPO,你呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.35.31.145
推 :推..... 我一直有在噗浪上追你的訊息1F 02/20 10:54
推 :那你只要寫悔過書就好了嗎2F 02/20 11:01
推 :幫推...5F 02/20 11:13
→ :第二次那算是惡作劇?6F 02/20 11:35
→ :看來你的道德標準跟我差距很大。
→ :看來你的道德標準跟我差距很大。
推 :會有法律問題的是第一次,第二次在法律上反而沒問題.....8F 02/20 11:37
→ :因次第一次有改到別人的資料 (暱稱) 第二次就只是顯示文字
→ :因次第一次有改到別人的資料 (暱稱) 第二次就只是顯示文字
→ :你看漏了吧,第二次有冒用使用者身份發表。10F 02/20 11:39
→ :不過我覺得關掉別人留言區可能也會有事11F 02/20 11:39
→ :喔... 看到了
→ :喔... 看到了
→ :檢察官問對方要告哪條,第二次無罪,只能告第一次13F 02/20 11:48
→ :不管如何檢察官希望到他那邊就擋掉,所以判緩起訴
→ :道德標準?亂版兩天VS金流個資被偷光?
→ :不管如何檢察官希望到他那邊就擋掉,所以判緩起訴
→ :道德標準?亂版兩天VS金流個資被偷光?
推 :推你好心16F 02/20 11:54
→ :@JokerCatz 金流個資被偷光自然公司會付出代價。17F 02/20 11:55
推 :鬧版兩天自然也有鬧版兩天公司付出的代價跟你付出的代價
→ :我不會支持城邦這種修安全性漏洞的態度,但我也不會認同你把
→ :這個漏洞這樣使用的態度與方式。
推 :鬧版兩天自然也有鬧版兩天公司付出的代價跟你付出的代價
→ :我不會支持城邦這種修安全性漏洞的態度,但我也不會認同你把
→ :這個漏洞這樣使用的態度與方式。
推 :推,你實在太酷了 XD21F 02/20 11:57
→ :@TonyQ所以這次讓我學到,要不就隱藏身份亂版,要不就22F 02/20 12:01
→ :要不就管他去死,這是這次事件教我的事情,不是?
→ :如果第一次就回信就修正何來的第二次?我甚至還詢問過:
→ :『你們修好XSS了沒』,我等到的只有不修,就是不修
→ :要不就管他去死,這是這次事件教我的事情,不是?
→ :如果第一次就回信就修正何來的第二次?我甚至還詢問過:
→ :『你們修好XSS了沒』,我等到的只有不修,就是不修
推 :講這些只是自我滿足而已吧,你做了那麼多,他們就修了?26F 02/20 12:28
→ :你該做的都做了,沒必要自己跳下水了
推 :他們態度你很清楚了,"不修",個資偷光? 關我屁事
→ :你該做的都做了,沒必要自己跳下水了
推 :他們態度你很清楚了,"不修",個資偷光? 關我屁事
推 :沒必要自己跳下水+1 他要爛就讓他爛29F 02/20 12:37
推 :這種行為欠缺對別人的尊重,人家要留漏洞也是決策的結果30F 02/20 12:39
→ :他們自己要負擔決策的責任。可是這並不代表你可以幫他們
→ :他們自己要負擔決策的責任。可是這並不代表你可以幫他們
推 :從這件事情來看就知道資安形同虛設32F 02/20 12:41
→ :下決定。難道有人強制你過"健康"的生活你會欣然接受嗎?33F 02/20 12:42
推 :應該比喻成醫生警告你再抽煙會死這樣吧34F 02/20 12:48
→ :但是如果那個人真的想自殺強迫他活著也是有問題的
→ :所以以後有人想自殺就讓他去吧(?)
→ :但是如果那個人真的想自殺強迫他活著也是有問題的
→ :所以以後有人想自殺就讓他去吧(?)
推 :法官對你客氣了37F 02/20 12:55
→ :今天要寄出悔過書和五個重大缺失,就推文者言看來算了..38F 02/20 13:02
→ :不管如何事件已經到終點,而...也讓大家看笑話了就是
→ :不管如何事件已經到終點,而...也讓大家看笑話了就是
→ :聽起來城邦若不告你還真的對受影響使用者很難交待啊...40F 02/20 13:06
→ :可惜好心做壞事, 下回試著把好心用在其它地方吧...
→ :可惜好心做壞事, 下回試著把好心用在其它地方吧...
→ :@JokerCatz 你很重要嗎? 你哪位?42F 02/20 13:16
→ :這個議題是重要,但是我不覺得他重要到如果對方不理你意見
→ :就要被你報復。
→ :你今天作那個投影片,把密碼拿來展示,這也是一種危險行為
→ :而且這個危險行為是你設計的。
→ :你如果真的覺得你毫無問題跟責任,我覺得那是你的自由,但
→ :作為一個 programmer ,我無法認同、鼓勵你的行為。
→ :As the result , you are a cracker , not a hacker. for me
→ :當然我的意見可能沒有那麼重要,愛看不看基本上你有你的自由
→ :這個議題是重要,但是我不覺得他重要到如果對方不理你意見
→ :就要被你報復。
→ :你今天作那個投影片,把密碼拿來展示,這也是一種危險行為
→ :而且這個危險行為是你設計的。
→ :你如果真的覺得你毫無問題跟責任,我覺得那是你的自由,但
→ :作為一個 programmer ,我無法認同、鼓勵你的行為。
→ :As the result , you are a cracker , not a hacker. for me
→ :當然我的意見可能沒有那麼重要,愛看不看基本上你有你的自由
推 :一個人愛不愛秀, 道德觀怎樣想法怎樣, 我想很難改51F 02/20 13:25
→ :我只能說一句, 愛玩踩線就要有被告的心理準備
推 :你作的事跟Samy Kamkar當年對 myspace作的一模一樣
→ :他被判三年禁用電腦...你只勞動服務和寫篇唬爛文就了事
→ :該知道是僥倖而不是沾沾自喜..
→ :我只能說一句, 愛玩踩線就要有被告的心理準備
推 :你作的事跟Samy Kamkar當年對 myspace作的一模一樣
→ :他被判三年禁用電腦...你只勞動服務和寫篇唬爛文就了事
→ :該知道是僥倖而不是沾沾自喜..
→ :我最之前就有說了,單純因為朋友在那邊做,被壓榨之類的56F 02/20 13:35
→ :還有太多隱情沒有說出來,我自己提供的證據也比對方多
→ :裡面也有說我並不以攻擊為樂,所以請鞭小力點Orz"
→ :第二次主要是不希望對方再次粉飾太平,也就這樣而已
→ :然而事情也都結束了,再多的事後諸葛怎樣的都無濟於事
→ :至於如TonyQ所言,我真的是no body,so,希望落幕而已
→ :還有太多隱情沒有說出來,我自己提供的證據也比對方多
→ :裡面也有說我並不以攻擊為樂,所以請鞭小力點Orz"
→ :第二次主要是不希望對方再次粉飾太平,也就這樣而已
→ :然而事情也都結束了,再多的事後諸葛怎樣的都無濟於事
→ :至於如TonyQ所言,我真的是no body,so,希望落幕而已
推 :其實我覺得是我 我也會這樣做吧...只是會隱藏IP就是62F 02/20 13:45
→ :看完之後真覺得自己犯賤真的蠻無聊的. 你朋友城邦那邊都說63F 02/20 13:54
→ :上司那邊動不了,你還規劃第二次攻擊,究竟是想要教導誰?
→ :他們MIS可能有臨時處理掉,但是因為卡在上司壓著,來不及去
→ :弄一些什麼補救方案,要關不能關,要改不能改. 而你卻自顧自的
→ :再去弄他們,不知道你自己的問題在哪裏.
→ :結果可能會是跟你一樣的工程師比較肚爛你吧.
→ :上司那邊動不了,你還規劃第二次攻擊,究竟是想要教導誰?
→ :他們MIS可能有臨時處理掉,但是因為卡在上司壓著,來不及去
→ :弄一些什麼補救方案,要關不能關,要改不能改. 而你卻自顧自的
→ :再去弄他們,不知道你自己的問題在哪裏.
→ :結果可能會是跟你一樣的工程師比較肚爛你吧.
推 :原PO樂心不過在台灣就囧69F 02/20 14:02
→ : 熱才對囧
→ : 熱才對囧
→ :下次乖乖的讓別人去dump他們的資料就好了71F 02/20 15:14
→ :甭管事啦你XD
→ :甭管事啦你XD
推 :雖然不推你的作法 但還是推你的熱血 唯有衝撞才能前進=3=73F 02/20 15:31
→ :感想: 被告和勞動服務是基本~ 也許應該罰更重一點~74F 02/20 16:44
推 :我覺得你作法還是不對,何不跟他們談筆生意更好?75F 02/20 18:20
→ :不過也還是要推你的熱心XD
→ :不過也還是要推你的熱心XD
推 :熱心對了 方法錯了77F 02/20 23:34
→ :@@ 台灣版的"終極警探4.0"?台灣的麥克連在哪? 做法其實已78F 02/21 03:51
→ :經過頭了~這個世界有很多奇怪的人、事、物~不是自己認為正
→ :義的事就能伸張~尤其是被害者堅決不要的時候~因為除非那是
→ :你的家人~不然幾乎能肯定不但救不了還會被反咬一口~正所謂
→ :"神仙難救無命客"~自己不要命的~神仙都救不了! 另外love大
→ :的做法~個人比較贊同!如果會利用話術談成~不僅能幫忙~還能
→ :賺錢~實在是一兼二顧!!!
→ :經過頭了~這個世界有很多奇怪的人、事、物~不是自己認為正
→ :義的事就能伸張~尤其是被害者堅決不要的時候~因為除非那是
→ :你的家人~不然幾乎能肯定不但救不了還會被反咬一口~正所謂
→ :"神仙難救無命客"~自己不要命的~神仙都救不了! 另外love大
→ :的做法~個人比較贊同!如果會利用話術談成~不僅能幫忙~還能
→ :賺錢~實在是一兼二顧!!!
推 :我比較想知道有這種性格的技術人員 一般公司到底喜不喜歡85F 02/21 12:22
→ :就是技術不錯但不聽他的 就搞破壞 或是只想要後知後覺但
→ :出包會設法修正補洞的人...
→ :就是技術不錯但不聽他的 就搞破壞 或是只想要後知後覺但
→ :出包會設法修正補洞的人...
推 :有工作需要前者,有工作需要後者,要看你們公司需要哪種88F 02/21 17:16
→ :"然而因為不想重複感染過渡擾民,所以有加cookie判定" <- XD89F 02/21 21:59
→ :你真的很無聊,反正大概爆了也不會怎麼樣的才不會想改。90F 02/22 01:28
→ :資料又不值錢,資料大概都有備份,爆了就回復就算了吧...
→ :想當英雄,也找點值得的事情,人家不理你還管,吃飽太閒
→ :資料又不值錢,資料大概都有備份,爆了就回復就算了吧...
→ :想當英雄,也找點值得的事情,人家不理你還管,吃飽太閒
推 :看來不要去城邦比較好,安全性這麼低的網站,誰知道會不會93F 02/23 07:05
→ :有一天上去買書,結果有人打電話說要去提款機前面解除分期
→ :有一天上去買書,結果有人打電話說要去提款機前面解除分期
※ Last modified: 02/23/2013 07:06:12
--
回列表(←)
分享