这是一个创建于 136 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://t.bilibili.com/1071151658115792901 问题出在图片上 请自行点击查看,不知道为什么我不能上传图片了 某个知名查询网站也提供了设备型号的查询,与事实相符
第 1 条附言 136 天前
哔哩哔哩客户端的UA里是设备型号 如下 Dalvik/2.1.0 (Linux; U; Android 9; SM-S9160 Build/PQ3A.190705.04151828) 7.30.0 os/android model/SM-S9160 mobi_app/android build/7300400 channel/alifenfa innerVer/7300400 osVer/9 network/2 并且还会发送mid,就是用户账户
 | 1 mingde816 OP 更正:网站内部人士表示数据另有来源() |
 | 2 JensenQian 136 天前 还好了 手机型号和 ip 的话 除非你 ip 公网 ip ,我移动一个 ip 几千人估计 |
 | 3 povsister 136 天前  5 我还以为多大事呢... |
 | 4 BeiChuanAlex 136 天前 我还以为多大事呢... 又不是几亿的个人信息泄漏 |
 | 5 lrhtony 136 天前 后端对图片地址校验不严,能用自己的地址,发出来估计很快就会被修了。4 年前挖过类似的漏洞,没想到现在还是一样 |
 | 6 挂了张外链图罢了,图片 XSS ,老掉牙的手段,ie 时代随便偷 cookie ,现在比较难偷到了浏览器各种限制 0 几年的论坛签名档不都是通过 bbcode 显示图片,访问者的 IP 系统 浏览器都是动态生成。还可以用来种 Cookie ,vps/host 热门的时候,aff 当图片链接,推广赚的盘满钵满 [{"height":162,"live_url":null,"size":1000,"url":"https:\u002F\u002Fi0.hdslb.com.aicu.cc\u002Fbfs\u002Faicu\u002F1.jpg","width":162}],"style":1}}]},"module_type":"MODULE_TYPE_CONTENT"}, |
 | 7 docx 136 天前 via iPhone 在哪?我怎么什么都没看到 |
 | 8 epiphyllum 136 天前 13 应该是写后端的时候因为偷懒/没睡醒/水平太菜,用了`strings.HasPrefix()`之类的东西来判断图片地址是否合法。 `i0.hdslb.com`这个字符串放中间或末尾都会触发“图片 bucket 错误”的报错,但是只要图片 URL 的域名部分的开头为`i0.hdslb.com`都可以通过校验。这导致攻击者可以通过修改“发布动态”时向服务器提交的 payload ,以此将图片 URL 指向自己的服务器。  由于客户端/浏览器在请求时携带的信息较少,攻击者很难将获取到的泄露信息关联到具体的用户或账号。 ============== 对于用户的风险: 除 IP 泄露风险外,使用较旧浏览器的用户和 b 站客户端用户还有设备型号泄露的风险;加之客户端会跟随 30x 状态码进行跳转,使用按量计费方式上网的用户可能有流量被浪费的风险。 (其它平台的类似攻击案例:某知名即时通讯 APP 中,攻击者可以通过修改 XML 结构化消息中的图片的`cover`属性并在群聊中发送构造的特殊消息,以此获取“看到消息的群成员”的 IP 地址并统计群内活跃人数) 对于平台的风险: 用户可以在动态发布后替换图片,发布时间戳将不再可信。少数用户可能利用此类特性隐藏编辑痕迹,以此达到炒作或抵赖的效果。 (其它平台的炒作案例:在高考答题期间发表任意带图内容,考试结束后将图片替换为试卷图片,谎称“试题在考试期间就已泄露”以骗取关注与热度) |
 | 9 v1 136 天前 <谁在窥屏>BiliBili 版 |
 | 10 oyama 136 天前 确实是图片探针了 |
 | 11 cccer 136 天前 老问题了,以前也各种图片域名校验问题。可以做防审核,根据设备和 IP 动态显示图片。 |
 | 12 zjsxwc 136 天前 测试成功  |
 | 13 TenProX 136 天前 via iPhone 自你安 B 站客端,打使用始,你的手型和硬件具、商、WI-FI 名、AppList。客端直接你取了。 |
 | 14 miyuki 136 天前 和 qq 群用分享卡片查 ip 的原理差不多,自定义图片地址 |
 | 15 LieEar 136 天前 4 B 站这帮菜鸡。大家有没有发现最近一个月,卖片的异常猖狂,新增的关注点进去看全是卖片的。不知道是哪个接口被攻破了。 |
 | 16 C02TobNClov1Dz56 136 天前 @LieEar +1, 每天都有关注, 结果是麦片的 |
 | 18 Nanosk 136 天前 @chengyiqun 去把这些粉丝处理掉 有很多人被封号之前和你是一样的情况 |
 | 21 635925926 136 天前 十几年前 qq 空间就有,只是当时是上传到自己的空间,让来访者看。会显示自己所在城市天气预报,ip 等等 |
| 22 635925926 136 天前 危害不是说泄露隐私,除了 ip ,ua 获取不到什么有用数据。 最大的问题是挂了张外链图,用户可以自定义图片,这图可以随时变成反动,黄赌毒之类的。 |
 | 23 coderzhangsan 136 天前 1 @LieEar 兄弟,你想多了,干技术的又不是决策者,yellow 只是一种拉流量的工具手段,效益好的时候不需要这东西,效益差的时候搞一搞也能挣点,快手不就是这么活下来的吗?所以你把问题归类于技术人员,恰恰找错方向了。 |
 | 24 moluyouwo 136 天前 拿到 ip 跟 header 有啥用? |
 | 25 actck 136 天前 1 b 站是真的 top 里最菜的一个,搜索写的稀烂 |
| 26 LieEar 136 天前 @coderzhangsan 确实,海量的卖片小号在我们看来是垃圾,但是在 b 站看来也是新用户。 |
| 27 mingde816 OP @epiphyllum 有对应的方法可以对应到用户,你可以手机端试一下 |
 | 31 wtof 136 天前 被卡巴以证书问题卡了: 事件: 检测到无效证书 SSL 连接 用户类型: 未定义 应用程序名称: chrome.exe 应用程序路径: C:\Program Files\Google\Chrome\Application 组件: 安全浏览 结果描述: 已阻止 对象名称: i0.hdslb.com.test.hack.com 原因: 无效的证书名。该名称未包括在允许名称列表中,或明确排除在该列表之外。 |
| 32 mingde816 OP @epiphyllum 我认为你提供误导的内容误导了他人,使用 B 站客户端实际上有 mid 和设备具体型号,攻击者并非很难将泄露的信息关联到具体用户 |
 | 34 MIUIOS 135 天前 这不是 10 年前就玩剩的吗,别人看不到的,只能看到自己的,以前贴吧全都带这种的回复尾巴的,还带动态炫酷图片呢 |
 | 35 csx163 135 天前 我只会放随机美女图 |
 | 36 AV1 135 天前 如果只是挂了外链图,现代的浏览器安全能力,最多就暴露 UA 和 IP ,不会泄露用户账户、token 、cookie 之类。 当然如果图片链接被动态地插入一些额外的参数,那就另论了。 |
 | 39 incubus 135 天前 某知名网站是啥 |
 | 41 pprocket 135 天前 并非 |
 | 43 y1y1 135 天前 404 了? |
 | 44 0rangem00n 135 天前 @zh584728 我的 b 站搜索栏挂着的都是几年前的词条 |
| 46 C02TobNClov1Dz56 133 天前 @Nanosk 我每天都处理, 据说这些人会用脚本批量举报来着 |
Select Language