誰說台灣沒人才？根本是被浪費光了，駭進城邦的劉工程師無奈自白

整件事情要從2月19日的一則熱門報導說起。有一位劉姓工程師，在2012年發現城邦旗下的「POPO原創市集」、「起點中文網」有安全漏洞問題，他熱心的寄信告知城邦，卻得不到對方的重視。

於是，劉姓工程師化身「白帽駭客」，以「跨網站指令碼」（Cross-Site Scripting，簡稱XSS）攻擊該網站，使得「POPO」與「起點」網站的留言網友，暱稱通通變成了「囧」。2小時後，這名劉姓工程師向城邦自首，並提供解決方式，希望城邦可以注意到問題的嚴重性。

然而城邦決定對劉姓工程師提告，2月19日北檢依妨害電腦使用罪將劉男緩起訴，但須寫2000字以上悔過書，並提供40小時義務勞務。

今天（20日）這名劉姓工程師現身，對外說明事情始末。全文如下：（取自http://goo.gl/Q0Jlp）

我是這篇新聞的作者與被告劉先生

這邊大概簡述一下來龍去脈和始末

首先，我是一個Rails的開發工程師，且並不以攻擊為樂，畢竟主要的工作是防御者
而非攻擊者


我有個在城邦工作的朋友，某一天丟了一個他新做的網頁：起點中文網
我測試了一下，發覺有非常嚴重的XSS漏洞，搜尋列亂下語法都會過
亂打一下就可以塞個miku的圖片進去之類的

他的回覆是因為上級和設計部門，也就是主事者說不能關，要給人玩HTML語法
我這邊對他說我願意提供程式，讓使用者可以玩基本的HTML，但JavaScript絕對不行
可是回覆是說...一定要給人玩，全部，不能關
後續才發現，不止起點中文網，連他們最大的POPO原創都是這個情況，留言板
搜尋列，甚至暱稱輸入的部分全部都沒擋


於是我這邊自作主張的說一定會讓他們知道嚴重性，因次發動的第一次的攻擊

大概就是兩行很簡單的jQuery，丟個post去他們的後台，讓使用者自己幫自己換暱稱，
格式為『囧+帳號名』，然而因為不想重複感染過渡擾民，所以有加cookie判定
(如果有flag就不會重複執行)，當然因為沒偷東西，所以也沒掩飾IP
連暱稱都用我常用的就是

感染人數無法判斷，不過大約200人左右，當然這聯入侵都稱不上
只能說是惡作劇的部分，完事後發信給對方，說他們有很嚴重的問題請改正
內容包括攻擊手法和程式碼和修正的結果

隔天，我看到類似這樣欲蓋彌彰的做法
<script>jQuery(function($){...我的code...})</script>
<script>//jQuery(function($){...被修正的code...}</script>

okay，就這樣，之後也完全沒有回覆，再次詢問內部工程師，他說沒辦法
真的不能改，而且甚至有前例可循，類似HTML被亂改和Logo被改掉
他們也沒辦法，就是要開，因為長官說使用者會問為何之前的功能不能用了？


所以在URP上公佈，並規劃了第二次攻擊

第二次惡作劇的內容大概是寫個會自我感染且釣魚手法的投影片Script
1.如果是登入會員，會詢問密碼，內容為：
  "請再次輸入您的密碼，來享受POPO推出的新安全閱讀環境"(大概是醬)
  然後還會去後台驗證使用者的密碼，錯誤還會出現"請再輸入一次"
2.如果(1)取到，將密碼編碼成類似"W*****n"，塞進其中一個投影片並清除暫存密碼
3.不管是否有經過(1)，都會繼續進行投影片的動作，而投影片看完一樣塞入cookie
  一個flag不重新執行投影片動作，不過該書本的留言區會被閉鎖(一個貓咪圖案)
  為了不讓該script因留言分頁而不見，點擊貓咪圖案還可以再看一次
4.使用者如為登入會員，於(3)執行時，會複製自己的code到首頁和隨機的書本內

anyway，因為有複製能力，整個站很快就充滿著code...

隔天早上可以觀看到對方有清理的動作，清理的方式是...
<script src="xxx/xxx.js"></script> //清理前
<script src="xxx/xxx.j"></script> //清理後

然而...因為該code有自我感染能力，所以可能還有人在看，簡單的來說就是清不完
所以才在中午時全站關站維修之類的


anyway之後就是無盡有趣的爆點了...警察和檢察官那邊的...
大概就是一票人說我多管閒事...管他去死...去台北市刑大吃便當...和他們有說有笑...
然後偵察庭檢察官打對方臉...還說市刑大超幫我說話的，有的沒的X"DDD


anyway目前手邊還有很多他們系統的漏洞，不過至少最大的那個已經被我身先士卒的
擋掉了，而他們後來因為安全性而罔顧了自由性，那...就是他們自己選擇的做法就是了
我本來對這個網站有非常多的期許，可以做得更好，更有趣，不過看來他們這樣的風氣
，也就是嚴重官僚而非平行溝通的部分，自己真的不能苟同就是了


我從頭到尾總共發超過四封，超過一萬字到他們的客服，包括弱點和相關內容
他們只有一封回我

{   Joker Catz  您好

    您的來信站方已收到，本件因已進入司法偵查程序，故已轉由本部處理。
    由於本件將於2月4日至地檢署開庭，如您有任何意見表達
    可於當日與本公司代表當面討論。

    城邦媒體控股集團  法務部   }

這就是到目前我所知道的POPO，你呢？

有人認為劉姓工程師的作風「過激」了，而且是自願跳下水，被告怪誰？但也有人表示，十分崇拜劉工程師的做法。

你認同他這樣「駭進城邦，2小時後主動自首提供解藥，只希望城邦注意到漏洞」的作法嗎？

一腔熱情，卻遭到如此的對待，

好人沒有好爆，

會不會讓熱心的網民 心灰意冷，

以後變成破壞多，建設少呢？

偶像阿   膜拜文(趴
有點好奇他被很多人知道以後會不會被高薪挖角ˊ__>ˋ

這就是鬼島台灣所謂的，長官、高層、上級...等等的一貫模式
明明知道早晚出問題，但是只要還沒出事，就是無視問題....
大多在事後擦屁股，很少在事先預防....

劉先生是一股熱情
大部份老闆根本什麼都不懂

多管閒事~~有這種爛公司

就讓他被攻擊的夠

這樣才能讓這些鐵公雞老板

掏錢解決事情

罪的姿態 發表於 2013-2-20 15:09
偶像阿   膜拜文(趴
有點好奇他被很多人知道以後會不會被高薪挖角ˊ__>ˋ

台灣很少存在高薪挖角；更多的是受不了22K自願跳槽。

台灣的人才都變奴才了，...................

我發現不管是台灣還是中國 或其他華人文化地區
官僚氣息真的是承襲已久的陋習
大家都是在等退休 多一事不如少一事的心態在自己的工作崗位上

那位工程師本身的想法就很有問題

頭先寄信過去告知就行了..他們不管的話就沒你的事了

可是他偏偏還要用可以說是過激的手法來告知

這本身就是錯誤的!


就像我跟你說  我砍你一刀會很痛..可是你不相信，於是我真的砍你一刀來讓你相信
可以這做嗎?