歡迎來到 常識詞典網 , 一個專業的常識知識學習網站!
[ Ctrl + D 鍵 ]收藏本站
答案 1:
1. 代碼的主要目的目前看來是收集用戶隱私。-惡意代碼并不能給攻擊者提供直接的利益,這僅僅是web蠕蟲傳播的必要手段。2. 需要看使用的是哪種客戶端,使用手機瀏覽器訪問的話,如果js引擎啟用,那么會產生同樣的效果。3. 從蠕蟲代碼上看是很明顯的站內信xss觸發執行,利用api csrf漏洞進行傳播,尤其是后者造成了大量的自動傳播。但是這個漏洞如果在早期的架構設計上沒有很好考慮的話,后期改動工作量很大。除非引起管理團隊足夠重視或者產生嚴重后果,否則很難把這個問題提到優先級上。這是諸多互聯網產品安全上的通病。Facebook早期-api也有類似的csrf問題,不過很快就得到修正。新浪微博的早期版本在設計上就非常注意csrf問題,微博的發布、轉發、評論以及私信等功能都做了anti-csrf token處理,所以沒有類似問題。但是據我所知,國內其它大的互聯網廠商有類似問題的不在少數,多的不能透漏了。前不久美國“-”事件的主要起因還是由于GMail的一個類似漏洞,Google尚且如此,其它公司就不要說了。這個需要有專業的應用安全人士來搞。順便說一句,人人的站內信發送api使用的是facebook的代碼,不過facebook在頁面處理上做了anti-csrf處理,人人的程序員沒抄全吧?4. 不知道。非市場專家,不亂發言。5. 根據經驗分析我傾向于此次事件的具體執行是單個的個人行為。qiutuan.net的注冊信息都是虛假信息,-在美國,這個無需多說。-商是godaddy,主機提供商是brinkster。都是很難在國內查到注冊者真實信息的提供商。-時間為4月6日,很明顯應該是專門為此次攻擊準備的。從代碼風格和函數命名方式上看,是偏應用層的攻擊者,年齡在30歲以下。如果我是人人網的工程師,借助公司的一些力量理論上還是有希望找到幕后黑手。當然這個就是很蛋疼的事情了,你漏洞那么大,不利用一下才是怪事,只是這次事情鬧得大了點。下一篇:子女想象父母-的樣子會覺得不舒服? 下一篇 【方向鍵 ( → )下一篇】
上一篇:人們喜歡賦予平常的日子于特殊的含義?這種文化難道不覺得很落后很無聊嗎? 上一篇 【方向鍵 ( ← )上一篇】
快搜
