Saturday, November 17, 2012

POPO.tw hacked



看到我朋友被一群腦袋也被 XSS 的 end user 罵的很慘...手癢寫了這個

請注意文中部份內容不盡然是事實的就是XD


====================================================================

Dear all,




我只是單純路過穿拖鞋的阿宅工程師,平常也是跟 POPO 工程師大大們一樣,在老闆壓榨下刻刻網頁、寫寫程式,騙點小錢,對於網路攻擊也不是很懂,但是這次的事件後,在下心裡有些想法學的需要跟大家分享一下 :)



首先,我們何不反過來想想看,白帽子先生到底是為了什麼樣的目的才做這件事情的呢? 我們從頭開始:


1. 白帽子先生透過 "囧 ID" 來提醒大家這邊的平台似乎出了點問題,也許使用者的資料有被竄改的可能,雖然是個無傷大雅的小玩笑,但相信就算是對於網路技術毫無概念,各位冰雪聰明的作家們一定不難推論,咦?好像哪裡怪怪的。而身為服務提供者的站方也應該要意識到,也許自家網站可能某些地方出了點問題,需要修正。


2. 也許過了很久一段時間,白帽子先生再次發現,原本有問題的網站仍然沒有被修好,於是,<刪除線>說破嘴不如跑斷腿,拼資安,做就對了</刪除線> ,他決定用更明顯的方式,來提醒大家,這個平台的資訊安全是有問題的。




3. 這次的行動造成了大家恐懼,引起軒然大波,並擔心自己的帳號安全是否有問題(我自己也嚇了一大跳),站方也馬上著手進行緊急維修。



好,我們總結一下,在 "囧事件" 發生之後,顯然使用者會感受到自己的權益其實是有受到威脅的,而理論上站方應該也知道大概發生了什麼事情,同樣身為阿宅工程師。明眼人看就知道,如果能做到這種直接從外部(留言板)植入惡意程式碼而竄改網頁資料是非常嚴重的漏洞!嚴重程度大概像是我們突然失去了所有遮蔽物而在大街上裸奔一般,相信所有做過網站的朋友們看到這種漏洞都會下出一身冷汗。但是大家秉持著人類的惰性,反正好像沒事就置之不理。對,就是姑息!對於這樣具有危險性甚至可以說是災難性的漏洞姑息!




簡單說明一下,就我的認知,這次的手法其實跟 POPO 網頁語法有關,認至可以說是白帽子完全是透過 POPO 的特色功能 (features) 而進行的,看看這篇吧:


我們可以用一些特殊的 script 語法來替 POPO 網頁引入來自外頭網站提供的額外功能,同樣的,白帽子先生也只是透過這個特色功能,在留言時為自己的留言提供額外的功能!不同的是,這些具有 POPO 特色的額外功能造成大家人心惶惶,也引起站方緊急關站維修一天。最後,如同站方公告所說的:


POPO 原創網在幾經考量與討論的狀況下,我們將修改及暫停部分語法的支援功能,透過停止支援特殊語法來防止類似的漏洞發生。



明白了這個原理,不難相信為什麼在修正掉這個漏洞後,有使用者非常生氣的表示:

祝白帽子走路踩到狗屎跌進水溝 !!!

POPO 改掉了使用語法機制,讓我連貼圖還是放連結都放不上去,這點對我來說真的傷害很大!!!!





順帶一提,就我的了解,POPO 使用的網站技術預設行為本身就會自動過慮掉這些額外的 script (因為不清楚是否會對於網頁造成惡意影響),然而,站方為了方便和提供特色功能,將這個保障網站安全的功能關閉,如此舉動猶如將保障生命的安全網抽離,這樣不尊重使用者權益的網站,各位還敢繼續使用嗎?相信白帽子先生也是想到這點而和我一樣義憤填膺!



最後,希望各位如果有空的話能看一下另外幾位前輩先進的看法 :)




http://littlebmix.blogspot.tw/2012/11/popodarkframemaster.html

https://disp.cc/b/611-4N8c







PS. 我跟這次的事件和白帽子先生沒有任何關係




PSS. 仔細注意可以發現,我並不稱呼這次的事件為攻擊或是入侵,因為如果有心要到真正的入侵行為的話能做的絕對不只這些!只能說 POPO 這是是非常幸運!


====================================================================


在我寫完這邊正思考要不要一時之間腦充血去回這封信時,突然看到底下有人留言,我不想回了,這種站這種使用者還是讓他去吧


這無知、自大的行為會催毀原本還有一點優點的自己
大家都微笑的往前面對自己的生命
只有無知、自大的人還在原地踏步、憤憤不平
覺得可笑~~~也為他感到難過 往前走吧!人生還有更多美好的事值得學習^_^

到底是誰無知呢?





結果發現我柯南電影看到一半 


No comments:

Post a Comment