秘密

剛剛在微博上以為叫ringzero的安全從業(yè)者給了一張截圖，看起來(lái)像是無(wú)密的后臺(tái)（真假未知），并發(fā)表了內(nèi)容——#秘密#細(xì)節(jié)咱們7月烏云見(jiàn)！！！

其實(shí)遠(yuǎn)遠(yuǎn)在這個(gè)之前，我就已經(jīng)從個(gè)人消息途徑里打聽(tīng)到了秘密被拖庫(kù)的事，如果庫(kù)都被拖了，那么后臺(tái)泄露自然是很容易的事了。由于后臺(tái)截圖不全，并不能知道發(fā)布人的真實(shí)信息是否能看見(jiàn)，也不清楚通過(guò)后臺(tái)是否可以獲得webshell乃至服務(wù)器權(quán)限。就我個(gè)人的推測(cè)，這次爆料的動(dòng)機(jī)可能有以下幾種：

某黑客早已拖庫(kù)得手了，玩服務(wù)器也玩膩了，于是就公開(kāi)讓行業(yè)內(nèi)震精一下。

得到后臺(tái)權(quán)限，但是找不到可以拿shell的點(diǎn)，又懶得去搞apt，于是就公開(kāi)，這個(gè)可能性比較小。

某大牛獲得了多個(gè)漏洞，先小范圍公開(kāi)爆料一個(gè)危害等級(jí)低的，或者是告訴了某些黑客朋友，這些朋友中間有人抖了出來(lái)。

最近匿名社交打得很厲害，于是黑客成為了競(jìng)爭(zhēng)中的兵器，在已拖庫(kù)的前提下，爆料漏洞，可以起到公關(guān)上震懾的效果，如果是這個(gè)可能性的話(huà)，黑客可能掌握了非常多的商業(yè)機(jī)密和用戶(hù)隱私，很可能有很多后續(xù)問(wèn)題。無(wú)秘不認(rèn)真處理的話(huà)，還會(huì)有更多問(wèn)題爆料出來(lái)。

無(wú)密的這個(gè)漏洞給人感覺(jué)的價(jià)值還是不小的，至少那些xx門(mén)的主角都想知道是誰(shuí)黑了自己。前一段時(shí)間傳言說(shuō)投資人爭(zhēng)相投資無(wú)秘就是為了看那些匿名爆料者的真實(shí)身份。

黑掉一個(gè)匿名社交網(wǎng)站有多難？用一句廢話(huà)來(lái)說(shuō)就是只要是人設(shè)計(jì)的產(chǎn)品都有漏洞。移動(dòng)客戶(hù)端只是用來(lái)和接口進(jìn)行交互的，最終還是需要一個(gè)server來(lái)進(jìn)行交互，不過(guò)如果只是生成接口的server，除非有像上次攜程那樣的疏忽（其實(shí)可能性不小），否則的話(huà)可簡(jiǎn)單利用的場(chǎng)景還是不多的，但是如果有一個(gè)web版的后臺(tái)可就不一樣了。

比方說(shuō)，如果存在一個(gè)持久型xss，黑客提交一個(gè)xss腳本到消息里面，再讓管理員以某種方式瀏覽這條消息，這時(shí)候就容易得到管理員的隱私，從而可以用來(lái)欺騙后臺(tái)直接得到管理權(quán)限，這時(shí)候還有一條命，如果后臺(tái)存在可獲得webshell的漏洞，那就全玩完了。

匿名社交網(wǎng)站低廉的開(kāi)發(fā)成本決定了安全性不會(huì)太高，上述這個(gè)方法只是眾多入侵手段的一種，即便不能入侵服務(wù)器，也有很多方法獲得用戶(hù)隱私，當(dāng)這個(gè)隱私性?xún)r(jià)比很高的時(shí)候，比如在媒體或者投資機(jī)構(gòu)周?chē)M(jìn)行數(shù)據(jù)嗅探，甚至中間人攻擊，一樣會(huì)有黑客去這么做。匿名社交在目前看來(lái)是有隱私安全風(fēng)險(xiǎn)的，如果你的真實(shí)身份對(duì)比你爆料的內(nèi)容來(lái)說(shuō)很敏感的話(huà)，使用時(shí)一定要謹(jǐn)慎。

人生如戲 厲哥出品

【微信號(hào)】mintshow

人生如戲，全靠演技。

游戲人生，行走江湖。