关于正流行于人人网的站内信恶意代码，是如何发生的？
2012-01-19 18:12:46   来源：   点击：

1 个答案

• 答案 1：

  1. 代码的主要目的目前看来是收集用户隐私。群发恶意代码并不能给攻击者提供直接的利益，这仅仅是web蠕虫传播的必要手段。2. 需要看使用的是哪种客户端，使用手机浏览器访问的话，如果js引擎启用，那么会产生同样的效果。3. 从蠕虫代码上看是很明显的站内信xss触发执行，利用api csrf漏洞进行传播，尤其是后者造成了大量的自动传播。但是这个漏洞如果在早期的架构设计上没有很好考虑的话，后期改动工作量很大。除非引起管理团队足够重视或者产生严重后果，否则很难把这个问题提到优先级上。这是诸多互联网产品安全上的通病。Facebook早期开放api也有类似的csrf问题，不过很快就得到修正。新浪微博的早期版本在设计上就非常注意csrf问题，微博的发布、转发、评论以及私信等功能都做了anti-csrf token处理，所以没有类似问题。但是据我所知，国内其它大的互联网厂商有类似问题的不在少数，多的不能透漏了。前不久美国“艳照门”事件的主要起因还是由于GMail的一个类似漏洞，Google尚且如此，其它公司就不要说了。这个需要有专业的应用安全人士来搞。顺便说一句，人人的站内信发送api使用的是facebook的代码，不过facebook在页面处理上做了anti-csrf处理，人人的程序员没抄全吧？4. 不知道。非市场专家，不乱发言。5. 根据经验分析我倾向于此次事件的具体执行是单个的个人行为。qiutuan.net的注册信息都是虚假信息，服务器托管在美国，这个无需多说。域名注册商是godaddy，主机提供商是brinkster。都是很难在国内查到注册者真实信息的提供商。域名注册时间为4月6日，很明显应该是专门为此次攻击准备的。从代码风格和函数命名方式上看，是偏应用层的攻击者，年龄在30岁以下。如果我是人人网的工程师，借助公司的一些力量理论上还是有希望找到幕后黑手。当然这个就是很蛋疼的事情了，你漏洞那么大，不利用一下才是怪事，只是这次事情闹得大了点。