整件事情要從2月19日的一則熱門報導說起。有一位劉姓工程師,在2012年發現城邦旗下的「POPO原創市集」、「起點中文網」有安全漏洞問題,他熱心的寄信告知城邦,卻得不到對方的重視。
於是,劉姓工程師化身「白帽駭客」,以「跨網站指令碼」(Cross-Site Scripting,簡稱XSS)攻擊該網站,使得「POPO」與「起點」網站的留言網友,暱稱通通變成了「囧」。2小時後,這名劉姓工程師向城邦自首,並提供解決方式,希望城邦可以注意到問題的嚴重性。
然而城邦決定對劉姓工程師提告,2月19日北檢依妨害電腦使用罪將劉男緩起訴,但須寫2000字以上悔過書,並提供40小時義務勞務。
今天(20日)這名劉姓工程師現身,對外說明事情始末。全文如下:(取自http://goo.gl/Q0Jlp)
我是這篇新聞的作者與被告劉先生
這邊大概簡述一下來龍去脈和始末
首先,我是一個Rails的開發工程師,且並不以攻擊為樂,畢竟主要的工作是防御者
而非攻擊者
我有個在城邦工作的朋友,某一天丟了一個他新做的網頁:起點中文網
我測試了一下,發覺有非常嚴重的XSS漏洞,搜尋列亂下語法都會過
亂打一下就可以塞個miku的圖片進去之類的
他的回覆是因為上級和設計部門,也就是主事者說不能關,要給人玩HTML語法
我這邊對他說我願意提供程式,讓使用者可以玩基本的HTML,但JavaScript絕對不行
可是回覆是說...一定要給人玩,全部,不能關
後續才發現,不止起點中文網,連他們最大的POPO原創都是這個情況,留言板
搜尋列,甚至暱稱輸入的部分全部都沒擋
於是我這邊自作主張的說一定會讓他們知道嚴重性,因次發動的第一次的攻擊
大概就是兩行很簡單的jQuery,丟個post去他們的後台,讓使用者自己幫自己換暱稱,
格式為『囧+帳號名』,然而因為不想重複感染過渡擾民,所以有加cookie判定
(如果有flag就不會重複執行),當然因為沒偷東西,所以也沒掩飾IP
連暱稱都用我常用的就是
感染人數無法判斷,不過大約200人左右,當然這聯入侵都稱不上
只能說是惡作劇的部分,完事後發信給對方,說他們有很嚴重的問題請改正
內容包括攻擊手法和程式碼和修正的結果
隔天,我看到類似這樣欲蓋彌彰的做法
<script>jQuery(function($){...我的code...})</script>
<script>//jQuery(function($){...被修正的code...}</script>
okay,就這樣,之後也完全沒有回覆,再次詢問內部工程師,他說沒辦法
真的不能改,而且甚至有前例可循,類似HTML被亂改和Logo被改掉
他們也沒辦法,就是要開,因為長官說使用者會問為何之前的功能不能用了?
所以在URP上公佈,並規劃了第二次攻擊
第二次惡作劇的內容大概是寫個會自我感染且釣魚手法的投影片Script
1.如果是登入會員,會詢問密碼,內容為:
"請再次輸入您的密碼,來享受POPO推出的新安全閱讀環境"(大概是醬)
然後還會去後台驗證使用者的密碼,錯誤還會出現"請再輸入一次"
2.如果(1)取到,將密碼編碼成類似"W*****n",塞進其中一個投影片並清除暫存密碼
3.不管是否有經過(1),都會繼續進行投影片的動作,而投影片看完一樣塞入cookie
一個flag不重新執行投影片動作,不過該書本的留言區會被閉鎖(一個貓咪圖案)
為了不讓該script因留言分頁而不見,點擊貓咪圖案還可以再看一次
4.使用者如為登入會員,於(3)執行時,會複製自己的code到首頁和隨機的書本內
anyway,因為有複製能力,整個站很快就充滿著code...
隔天早上可以觀看到對方有清理的動作,清理的方式是...
<script src="xxx/xxx.js"></script> //清理前
<script src="xxx/xxx.j"></script> //清理後
然而...因為該code有自我感染能力,所以可能還有人在看,簡單的來說就是清不完
所以才在中午時全站關站維修之類的
anyway之後就是無盡有趣的爆點了...警察和檢察官那邊的...
大概就是一票人說我多管閒事...管他去死...去台北市刑大吃便當...和他們有說有笑...
然後偵察庭檢察官打對方臉...還說市刑大超幫我說話的,有的沒的X"DDD
anyway目前手邊還有很多他們系統的漏洞,不過至少最大的那個已經被我身先士卒的
擋掉了,而他們後來因為安全性而罔顧了自由性,那...就是他們自己選擇的做法就是了
我本來對這個網站有非常多的期許,可以做得更好,更有趣,不過看來他們這樣的風氣
,也就是嚴重官僚而非平行溝通的部分,自己真的不能苟同就是了
我從頭到尾總共發超過四封,超過一萬字到他們的客服,包括弱點和相關內容
他們只有一封回我
{ Joker Catz 您好
您的來信站方已收到,本件因已進入司法偵查程序,故已轉由本部處理。
由於本件將於2月4日至地檢署開庭,如您有任何意見表達
可於當日與本公司代表當面討論。
城邦媒體控股集團 法務部 }
這就是到目前我所知道的POPO,你呢?
有人認為劉姓工程師的作風「過激」了,而且是自願跳下水,被告怪誰?但也有人表示,十分崇拜劉工程師的做法。
你認同他這樣「駭進城邦,2小時後主動自首提供解藥,只希望城邦注意到漏洞」的作法嗎?
本帖最後由 dchen5 於 2014-4-28 21:48 編輯
|
|