B 站 漏洞 可查询 IP 和设备精确到型号

更正:网站内部人士表示数据另有来源()

还好了
手机型号和 ip 的话
除非你 ip 公网 ip ，我移动一个 ip 几千人估计

我还以为多大事呢...

我还以为多大事呢...

又不是几亿的个人信息泄漏

后端对图片地址校验不严，能用自己的地址，发出来估计很快就会被修了。4 年前挖过类似的漏洞，没想到现在还是一样

挂了张外链图罢了，图片 XSS ，老掉牙的手段，ie 时代随便偷 cookie ，现在比较难偷到了浏览器各种限制
0 几年的论坛签名档不都是通过 bbcode 显示图片，访问者的 IP 系统 浏览器都是动态生成。还可以用来种 Cookie ，vps/host 热门的时候，aff 当图片链接，推广赚的盘满钵满

[{"height":162,"live_url":null,"size":1000,"url":"https:\u002F\u002Fi0.hdslb.com.aicu.cc\u002Fbfs\u002Faicu\u002F1.jpg","width":162}],"style":1}}]},"module_type":"MODULE_TYPE_CONTENT"},

在哪？我怎么什么都没看到

应该是写后端的时候因为偷懒/没睡醒/水平太菜，用了`strings.HasPrefix()`之类的东西来判断图片地址是否合法。

`i0.hdslb.com`这个字符串放中间或末尾都会触发“图片 bucket 错误”的报错，但是只要图片 URL 的域名部分的开头为`i0.hdslb.com`都可以通过校验。这导致攻击者可以通过修改“发布动态”时向服务器提交的 payload ，以此将图片 URL 指向自己的服务器。


由于客户端/浏览器在请求时携带的信息较少，攻击者很难将获取到的泄露信息关联到具体的用户或账号。

==============

对于用户的风险： 除 IP 泄露风险外，使用较旧浏览器的用户和 b 站客户端用户还有设备型号泄露的风险；加之客户端会跟随 30x 状态码进行跳转，使用按量计费方式上网的用户可能有流量被浪费的风险。
（其它平台的类似攻击案例：某知名即时通讯 APP 中，攻击者可以通过修改 XML 结构化消息中的图片的`cover`属性并在群聊中发送构造的特殊消息，以此获取“看到消息的群成员”的 IP 地址并统计群内活跃人数）

对于平台的风险： 用户可以在动态发布后替换图片，发布时间戳将不再可信。少数用户可能利用此类特性隐藏编辑痕迹，以此达到炒作或抵赖的效果。
（其它平台的炒作案例：在高考答题期间发表任意带图内容，考试结束后将图片替换为试卷图片，谎称“试题在考试期间就已泄露”以骗取关注与热度）

<谁在窥屏>BiliBili 版

确实是图片探针了

老问题了，以前也各种图片域名校验问题。可以做防审核，根据设备和 IP 动态显示图片。

测试成功

自從你安裝 B 站客戶端，打開使用開始，你的手機型號和硬件具體參數、運營商、WI-FI 名稱、AppList⋯⋯。客戶端直接給你獲取了。

和 qq 群用分享卡片查 ip 的原理差不多，自定义图片地址

B 站这帮菜鸡。大家有没有发现最近一个月，卖片的异常猖狂，新增的关注点进去看全是卖片的。不知道是哪个接口被攻破了。

@LieEar +1, 每天都有关注, 结果是麦片的

@cccer 域名校验右到左就能避免吧.

@chengyiqun 去把这些粉丝处理掉 有很多人被封号之前和你是一样的情况

@LieEar 这个现象都一年了, 好像是 Play 商店版本的客户端看评论区尤甚, 国内版轻微很多

@TenProX 某些 app 才过份，隐私数据还是明文传输的。