A...首先抱歉其實不太會用BBS "城邦網留言「囧」暱稱　熱心駭客獲緩起訴" http://0rz.tw/LIDpl 我是這篇新聞的作者與被告劉先生 這邊大概簡述一下來龍去脈和始末 首先，我是一個Rails的開發工程師，且並不以攻擊為樂，畢竟主要的工作是防御者 而非攻擊者 我有個在城邦工作的朋友，某一天丟了一個他新做的網頁：起點中文網 我測試了一下，發覺有非常嚴重的XSS漏洞，搜尋列亂下語法都會過 亂打一下就可以塞個miku的圖片進去之類的 他的回覆是因為上級和設計部門，也就是主事者說不能關，要給人玩HTML語法 我這邊對他說我願意提供程式，讓使用者可以玩基本的HTML，但JavaScript絕對不行 可是回覆是說...一定要給人玩，全部，不能關 後續才發現，不止起點中文網，連他們最大的POPO原創都是這個情況，留言板 搜尋列，甚至暱稱輸入的部分全部都沒擋 於是我這邊自作主張的說一定會讓他們知道嚴重性，因次發動的第一次的攻擊 大概就是兩行很簡單的jQuery，丟個post去他們的後台，讓使用者自己幫自己換暱稱， 格式為『囧+帳號名』，然而因為不想重複感染過渡擾民，所以有加cookie判定 (如果有flag就不會重複執行)，當然因為沒偷東西，所以也沒掩飾IP 連暱稱都用我常用的就是 感染人數無法判斷，不過大約200人左右，當然這聯入侵都稱不上 只能說是惡作劇的部分，完事後發信給對方，說他們有很嚴重的問題請改正 內容包括攻擊手法和程式碼和修正的結果 隔天，我看到類似這樣欲蓋彌彰的做法 <script>jQuery(function($){...我的code...})</script> <script>//jQuery(function($){...被修正的code...}</script> okay，就這樣，之後也完全沒有回覆，再次詢問內部工程師，他說沒辦法 真的不能改，而且甚至有前例可循，類似HTML被亂改和Logo被改掉 他們也沒辦法，就是要開，因為長官說使用者會問為何之前的功能不能用了？ 所以在URP上公佈，並規劃了第二次攻擊 第二次惡作劇的內容大概是寫個會自我感染且釣魚手法的投影片Script 1.如果是登入會員，會詢問密碼，內容為： "請再次輸入您的密碼，來享受POPO推出的新安全閱讀環境"(大概是醬) 然後還會去後台驗證使用者的密碼，錯誤還會出現"請再輸入一次" 2.如果(1)取到，將密碼編碼成類似"W*****n"，塞進其中一個投影片並清除暫存密碼 3.不管是否有經過(1)，都會繼續進行投影片的動作，而投影片看完一樣塞入cookie 一個flag不重新執行投影片動作，不過該書本的留言區會被閉鎖(一個貓咪圖案) 為了不讓該script因留言分頁而不見，點擊貓咪圖案還可以再看一次 4.使用者如為登入會員，於(3)執行時，會複製自己的code到首頁和隨機的書本內 anyway，因為有複製能力，整個站很快就充滿著code... 隔天早上可以觀看到對方有清理的動作，清理的方式是... <script src="xxx/xxx.js"></script> //清理前 <script src="xxx/xxx.j"></script> //清理後 然而...因為該code有自我感染能力，所以可能還有人在看，簡單的來說就是清不完 所以才在中午時全站關站維修之類的 anyway之後就是無盡有趣的爆點了...警察和檢察官那邊的... 大概就是一票人說我多管閒事...管他去死...去台北市刑大吃便當...和他們有說有笑... 然後偵察庭檢察官打對方臉...還說市刑大超幫我說話的，有的沒的X"DDD anyway目前手邊還有很多他們系統的漏洞，不過至少最大的那個已經被我身先士卒的 擋掉了，而他們後來因為安全性而罔顧了自由性，那...就是他們自己選擇的做法就是了 我本來對這個網站有非常多的期許，可以做得更好，更有趣，不過看來他們這樣的風氣 ，也就是嚴重官僚而非平行溝通的部分，自己真的不能苟同就是了 我從頭到尾總共發超過四封，超過一萬字到他們的客服，包括弱點和相關內容 他們只有一封回我 { Joker Catz 您好 您的來信站方已收到，本件因已進入司法偵查程序，故已轉由本部處理。 由於本件將於2月4日至地檢署開庭，如您有任何意見表達 可於當日與本公司代表當面討論。 城邦媒體控股集團 法務部 } 這就是到目前我所知道的POPO，你呢？ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.35.31.145 標題: Re: [討論] 維護者、道德與安全 時間: Wed Feb 20 10:52:05 2013 A...首先抱歉其實不太會用BBS "城邦網留言「囧」暱稱　熱心駭客獲緩起訴" http://0rz.tw/LIDpl 我是這篇新聞的作者與被告劉先生 這邊大概簡述一下來龍去脈和始末 首先，我是一個Rails的開發工程師，且並不以攻擊為樂，畢竟主要的工作是防御者 而非攻擊者 我有個在城邦工作的朋友，某一天丟了一個他新做的網頁：起點中文網 我測試了一下，發覺有非常嚴重的XSS漏洞，搜尋列亂下語法都會過 亂打一下就可以塞個miku的圖片進去之類的 他的回覆是因為上級和設計部門，也就是主事者說不能關，要給人玩HTML語法 我這邊對他說我願意提供程式，讓使用者可以玩基本的HTML，但JavaScript絕對不行 可是回覆是說...一定要給人玩，全部，不能關 後續才發現，不止起點中文網，連他們最大的POPO原創都是這個情況，留言板 搜尋列，甚至暱稱輸入的部分全部都沒擋 於是我這邊自作主張的說一定會讓他們知道嚴重性，因次發動的第一次的攻擊 大概就是兩行很簡單的jQuery，丟個post去他們的後台，讓使用者自己幫自己換暱稱， 格式為『囧+帳號名』，然而因為不想重複感染過渡擾民，所以有加cookie判定 (如果有flag就不會重複執行)，當然因為沒偷東西，所以也沒掩飾IP 連暱稱都用我常用的就是 感染人數無法判斷，不過大約200人左右，當然這聯入侵都稱不上 只能說是惡作劇的部分，完事後發信給對方，說他們有很嚴重的問題請改正 內容包括攻擊手法和程式碼和修正的結果 隔天，我看到類似這樣欲蓋彌彰的做法 <script>jQuery(function($){...我的code...})</script> <script>//jQuery(function($){...被修正的code...}</script> okay，就這樣，之後也完全沒有回覆，再次詢問內部工程師，他說沒辦法 真的不能改，而且甚至有前例可循，類似HTML被亂改和Logo被改掉 他們也沒辦法，就是要開，因為長官說使用者會問為何之前的功能不能用了？ 所以在URP上公佈，並規劃了第二次攻擊 第二次惡作劇的內容大概是寫個會自我感染且釣魚手法的投影片Script 1.如果是登入會員，會詢問密碼，內容為： "請再次輸入您的密碼，來享受POPO推出的新安全閱讀環境"(大概是醬) 然後還會去後台驗證使用者的密碼，錯誤還會出現"請再輸入一次" 2.如果(1)取到，將密碼編碼成類似"W*****n"，塞進其中一個投影片並清除暫存密碼 3.不管是否有經過(1)，都會繼續進行投影片的動作，而投影片看完一樣塞入cookie 一個flag不重新執行投影片動作，不過該書本的留言區會被閉鎖(一個貓咪圖案) 為了不讓該script因留言分頁而不見，點擊貓咪圖案還可以再看一次 4.使用者如為登入會員，於(3)執行時，會複製自己的code到首頁和隨機的書本內 anyway，因為有複製能力，整個站很快就充滿著code... 隔天早上可以觀看到對方有清理的動作，清理的方式是... <script src="xxx/xxx.js"></script> //清理前 <script src="xxx/xxx.j"></script> //清理後 然而...因為該code有自我感染能力，所以可能還有人在看，簡單的來說就是清不完 所以才在中午時全站關站維修之類的 anyway之後就是無盡有趣的爆點了...警察和檢察官那邊的... 大概就是一票人說我多管閒事...管他去死...去台北市刑大吃便當...和他們有說有笑... 然後偵察庭檢察官打對方臉...還說市刑大超幫我說話的，有的沒的X"DDD anyway目前手邊還有很多他們系統的漏洞，不過至少最大的那個已經被我身先士卒的 擋掉了，而他們後來因為安全性而罔顧了自由性，那...就是他們自己選擇的做法就是了 我本來對這個網站有非常多的期許，可以做得更好，更有趣，不過看來他們這樣的風氣 ，也就是嚴重官僚而非平行溝通的部分，自己真的不能苟同就是了 我從頭到尾總共發超過四封，超過一萬字到他們的客服，包括弱點和相關內容 他們只有一封回我 { Joker Catz 您好 您的來信站方已收到，本件因已進入司法偵查程序，故已轉由本部處理。 由於本件將於2月4日至地檢署開庭，如您有任何意見表達 可於當日與本公司代表當面討論。 城邦媒體控股集團 法務部 } 這就是到目前我所知道的POPO，你呢？ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.35.31.145