https://t.bilibili.com/1071151658115792901 问题出在图片上 请自行点击查看,不知道为什么我不能上传图片了 某个知名查询网站也提供了设备型号的查询,与事实相符
第 1 条附言 · 7 天前
哔哩哔哩客户端的UA里是设备型号 如下 Dalvik/2.1.0 (Linux; U; Android 9; SM-S9160 Build/PQ3A.190705.04151828) 7.30.0 os/android model/SM-S9160 mobi_app/android build/7300400 channel/alifenfa innerVer/7300400 osVer/9 network/2 并且还会发送mid,就是用户账户
 |
1
mingde816 OP 更正:网站内部人士表示数据另有来源()
|
 |
2
JensenQian 8 天前
还好了
手机型号和 ip 的话 除非你 ip 公网 ip ,我移动一个 ip 几千人估计 |
 |
3
povsister 8 天前  5
我还以为多大事呢...
|
 |
4
BeiChuanAlex 8 天前
我还以为多大事呢...
又不是几亿的个人信息泄漏 |
 |
5
lrhtony 8 天前
后端对图片地址校验不严,能用自己的地址,发出来估计很快就会被修了。4 年前挖过类似的漏洞,没想到现在还是一样
|
 |
6
fuzzsh 8 天前 via Android
挂了张外链图罢了,图片 XSS ,老掉牙的手段,ie 时代随便偷 cookie ,现在比较难偷到了浏览器各种限制
0 几年的论坛签名档不都是通过 bbcode 显示图片,访问者的 IP 系统 浏览器都是动态生成。还可以用来种 Cookie ,vps/host 热门的时候,aff 当图片链接,推广赚的盘满钵满 [{"height":162,"live_url":null,"size":1000,"url":"https:\u002F\u002Fi0.hdslb.com.aicu.cc\u002Fbfs\u002Faicu\u002F1.jpg","width":162}],"style":1}}]},"module_type":"MODULE_TYPE_CONTENT"}, |
 |
7
docx 8 天前 via iPhone
在哪?我怎么什么都没看到
|
 |
8
epiphyllum 7 天前 13
应该是写后端的时候因为偷懒/没睡醒/水平太菜,用了`strings.HasPrefix()`之类的东西来判断图片地址是否合法。
`i0.hdslb.com`这个字符串放中间或末尾都会触发“图片 bucket 错误”的报错,但是只要图片 URL 的域名部分的开头为`i0.hdslb.com`都可以通过校验。这导致攻击者可以通过修改“发布动态”时向服务器提交的 payload ,以此将图片 URL 指向自己的服务器。  由于客户端/浏览器在请求时携带的信息较少,攻击者很难将获取到的泄露信息关联到具体的用户或账号。 ============== 对于用户的风险: 除 IP 泄露风险外,使用较旧浏览器的用户和 b 站客户端用户还有设备型号泄露的风险;加之客户端会跟随 30x 状态码进行跳转,使用按量计费方式上网的用户可能有流量被浪费的风险。 (其它平台的类似攻击案例:某知名即时通讯 APP 中,攻击者可以通过修改 XML 结构化消息中的图片的`cover`属性并在群聊中发送构造的特殊消息,以此获取“看到消息的群成员”的 IP 地址并统计群内活跃人数) 对于平台的风险: 用户可以在动态发布后替换图片,发布时间戳将不再可信。少数用户可能利用此类特性隐藏编辑痕迹,以此达到炒作或抵赖的效果。 (其它平台的炒作案例:在高考答题期间发表任意带图内容,考试结束后将图片替换为试卷图片,谎称“试题在考试期间就已泄露”以骗取关注与热度) |
 |
9
kk2syc 7 天前
<谁在窥屏>BiliBili 版
|
 |
10
oyama 7 天前
确实是图片探针了
|
 |
11
cccer 7 天前
老问题了,以前也各种图片域名校验问题。可以做防审核,根据设备和 IP 动态显示图片。
|
 |
12
zjsxwc 7 天前
测试成功
 |
 |
13
TenProX 7 天前 via iPhone
自從你安裝 B 站客戶端,打開使用開始,你的手機型號和硬件具體參數、運營商、WI-FI 名稱、AppList⋯⋯。客戶端直接給你獲取了。
|
 |
14
miyuki 7 天前
和 qq 群用分享卡片查 ip 的原理差不多,自定义图片地址
|
 |
15
LieEar 7 天前 4
B 站这帮菜鸡。大家有没有发现最近一个月,卖片的异常猖狂,新增的关注点进去看全是卖片的。不知道是哪个接口被攻破了。
|
 |
16
chengyiqun 7 天前
@LieEar +1, 每天都有关注, 结果是麦片的
|
 |
18
Nanosk 7 天前
@chengyiqun 去把这些粉丝处理掉 有很多人被封号之前和你是一样的情况
|
 |
21
635925926 7 天前
十几年前 qq 空间就有,只是当时是上传到自己的空间,让来访者看。会显示自己所在城市天气预报,ip 等等
|
|
22
635925926 7 天前
危害不是说泄露隐私,除了 ip ,ua 获取不到什么有用数据。
最大的问题是挂了张外链图,用户可以自定义图片,这图可以随时变成反动,黄赌毒之类的。 |
 |
23
coderzhangsan 7 天前 1
@LieEar 兄弟,你想多了,干技术的又不是决策者,yellow 只是一种拉流量的工具手段,效益好的时候不需要这东西,效益差的时候搞一搞也能挣点,快手不就是这么活下来的吗?所以你把问题归类于技术人员,恰恰找错方向了。
|
 |
24
moluyouwo 7 天前
拿到 ip 跟 header 有啥用?
|
 |
25
actck 7 天前 1
b 站是真的 top 里最菜的一个,搜索写的稀烂
|
|
26
LieEar 7 天前
@coderzhangsan 确实,海量的卖片小号在我们看来是垃圾,但是在 b 站看来也是新用户。
|
|
27
mingde816 OP @epiphyllum 有对应的方法可以对应到用户,你可以手机端试一下
|
 |
31
wtof 7 天前
被卡巴以证书问题卡了:
事件: 检测到无效证书 SSL 连接 用户类型: 未定义 应用程序名称: chrome.exe 应用程序路径: C:\Program Files\Google\Chrome\Application 组件: 安全浏览 结果描述: 已阻止 对象名称: i0.hdslb.com.test.hack.com 原因: 无效的证书名。该名称未包括在允许名称列表中,或明确排除在该列表之外。 |
|
32
mingde816 OP @epiphyllum 我认为你提供误导的内容误导了他人,使用 B 站客户端实际上有 mid 和设备具体型号,攻击者并非很难将泄露的信息关联到具体用户
|
 |
34
totoro52 7 天前
这不是 10 年前就玩剩的吗,别人看不到的,只能看到自己的,以前贴吧全都带这种的回复尾巴的,还带动态炫酷图片呢
|
 |
35
csx163 7 天前
我只会放随机美女图
|
 |
36
DOLLOR 7 天前
如果只是挂了外链图,现代的浏览器安全能力,最多就暴露 UA 和 IP ,不会泄露用户账户、token 、cookie 之类。
当然如果图片链接被动态地插入一些额外的参数,那就另论了。 |
 |
39
incubus 7 天前
某知名网站是啥
|
 |
41
pprocket 7 天前
并非
|
 |
43
y1y1 7 天前
404 了?
|
|
46
chengyiqun 5 天前
@Nanosk 我每天都处理, 据说这些人会用脚本批量举报来着
|
Select Language