黑客们都干过哪些屌炸天的事情？ 第1页

【2016.2.17更新】

请大家不要再找我要工具了，这个东西我们是不能给的。并且，8点左右的时候朋友印象的厂家已经修改了API，工具失效了，我们也停止了继续更新。我们给出这个测试结果只是希望给广大用户提一个醒，时刻注意自己的个人隐私。望大家周知。

----------------------------------------------------------------------------------------------------

我不是黑客，可我的工作是给大家描绘和互联网信息安全相关行业的人们，他们是如何生活和工作的。

最近我就参与这么一个事情，我觉得很有趣。

2016年春节火爆朋友圈的朋友印象APP一下子进入了我眼帘。因为太多人来调戏我了，一个个让我猜不透摸不着的，所以我一着急就请教了一下我认识的黑客大牛

。他让我找专业挖漏洞的安全公司newsky的song。他的知乎ID是

。

要不怎么说这个世界已经没有人能阻止黑客了呢。song马上就给我弄出来了一个工具，我一看这界面说也太简陋了，不好用。结果他截图给我看了一眼他的界面都是命令行……汗(─.─|||

给大家看一眼这是个什么东西。

我一直就不明白，你弄个炮在上面干嘛？“P” 就是 “炮” 吗？真是丧心病狂啊。√(─皿─)√o(一＾一+)o

闲话不用讲，经过我的一番折腾，终于会用了这个工具，然后就看那些人被我点出姓名时候的反映了，肯定很好玩。

这是一个脑残粉对我的崇拜。

这是另外一位粉丝，在校大学生，平时和我说话一口一个前辈的叫着，结果匿名聊天里张口闭口的老马……这真是……不说了，逮着了。

真是不敢想象一漂亮妹子竟然和我说要跟我打一架……

嗯，我其它的不说了，就说那些用这个匿名软件和妹子说一些不干不净话的猥琐男们，小心被人家扒了你的皮。

这里顺带科普一些互联网安全意识吧。

安在：这个漏洞严重吗？
shotgun：一般来说，泄露用户隐私的漏洞属于中等危害，并不属于最严重的那种，然而，朋友印象这类匿名社交，其主打的核心功能之一就是匿名评论和聊天，很多用户也是因为匿名才能够畅所欲言地吐槽，因此匿名可读这个问题就会严重很多，可以说是破坏了这个应用的根基。

我们已经把这个漏洞上报乌云：匿名社交朋友印象设计缺陷可泄漏匿名用户信息，乌云给这个漏洞的评级是：危害等级高。

同时，我们从这个漏洞的出现，也可以看到，该应用的开发团队在安全架构和设计方面存在较大的缺陷，所以一定还会存在其他类型的漏洞，我们也建议开发团队能够本着对用户负责的态度全面地检查一下。


安在：其他的应用也会有类似的漏洞吗？
shotgun：是的，某国内著名的社区应用，以及某国内著名的问答网站应用，都存在/曾经存在类似的漏洞，包括且不仅限于：匿名用户信息可读、用户间私密短信可读、强迫任意关注等。

例如，在几个月前，笔者曾经发现国内某知名问答社区存在可以读取匿名用户信息的漏洞，虽然用户从网站或者APP看不到匿名用户的信息，然而只需要稍微使用一些小技巧就可以通过系统的返回判断出匿名用户是谁，该漏洞的机理和今天这个漏洞是几乎一样的，没有在底层对匿名信息进行处理。问答社区爆出匿名泄露的漏洞对用户的影响可以说是很大的，因为用户在回答问题的时候如果选择匿名，往往是因为不想泄露个人隐私，或者担心回答会引来争吵、谩骂，而匿名泄露等于完全去掉了用户的这层保护，很可能会引发很多的矛盾和冲突。

可以说在移动互联网飞速增长的同时，移动互联网的安全却停滞不前，很多在电脑时代大家耳熟能详的信息安全老坑，在移动互联网时代还得一个一个地填平。

安在：为什么会出现类似的漏洞？
shotgun：一方面，很多移动互联网开发团队急于出活，缺乏对安全的重视，这体现在：
1、很多移动应用缺少安全的设计。由于开发工期紧，很多移动应用并没有加入安全的设计，而是先完成功能，赶紧上线，安全问题以后再说。用户认证、传输加密、防盗号、隐私保护、防跨站脚本、防数据库注入、防破解逆向等等功能都完全没有，几乎就是不设防。

2、开发过程中没有重视安全功能的实现。有些应用，虽然设计了安全功能，但是实现的时候马虎大意，使得安全功能形同虚设，很容易被绕过。

3、上线前缺少安全测试；我们知道但凡是程序就必然有BUG，安全功能也不例外，而安全功能的BUG会更加隐蔽，因为正常使用时很难暴露，发现的人往往也是奇货可居不会主动上报，这就更加需要对应用进行全面的安全测试了，例如使用http://apprisk.newskysecurity.com的扫描工具对朋友印象的APP进行扫描，发现其中有十几个安全漏洞，其中包括了客户端使用明文对用户密码进行传输（意味着你在公开的网络上登录就很可能会丢失密码）。


另一方面，很多移动互联网开发团队缺少足够的安全意识和技能，并没有把信息安全看作是架构层面的设计，而简单的当作是普通功能。

比如此次的漏洞：

1、既然是匿名，就应该在系统底层对用户进行匿名处理，转换为内部ID而不是使用微信ID来进行识别，匿名信息的屏蔽操作应该统一由一个安全模块完成，而不是各个功能模块自行完成。这是把信息安全当成基础设施的原则；

2、所有匿名到实名的转换操作应该在服务器而不是客户端完成，这是任何时候都不要信任客户端以及用户输入的原则；

3、敏感数据在网络上传播的时候应该加密；

这几个原则在PC时代已经广为开发人员熟知，然而在移动互联网开发中，能严格遵守的团队屈指可数，上文提到的 http://apprisk.newskysecurity.com团队使用他们的自动化工具扫描检查了大量的移动应用，其中60%有中等以上的安全漏洞，包括且不仅限于：各个银行、超市、航空公司、电商、社交软件的手机客户端。例如美国著名的超市Target和Costco的手机应用，都被检查出有严重的安全问题。

安在：作为普通的用户，应该注意些什么呢？

shotgun：用户应该要有安全防范意识：
1、网络上没有真正的匿名，由于大数据的存在，由于安全漏洞的存在，匿名很容易被泄露，所以不要仗着匿名去做一些平时实名时不敢做的事情，这样很容易出问题；

2、移动互联网的安全问题越来越严重，使用第三方的应使用第三方的应用时要小心谨慎，特别是不要把自己的敏感信息（如实名信息或者银行信息）存在应用里；

3、经常关注信息安全公告，发生重大信息安全事件时能够及时反应，降低损失。

大家想看具体的获得匿名人的微信昵称过程也可以点下面的链接。

上面内容引自：你以为你在匿名聊天？小心被人扒了底裤！

PS;

关于朋友印象的介绍请大家看他们的官网：http://pyyx.com

众明星入股朋友印象，社交也可以这么玩_DoNews-博客

根据这篇公关文，我们知道是

8月19日，朋友印象在北京今日美术馆召开产品发布会。俞敏洪、任志强、潘石屹、快滴打车董事长吕传伟、《小时代》《钟馗附魔》制片人安晓芬、乐嘉、海清、张歆艺、吴秀波、王利芬等商界和演艺界大咖纷纷入股。

一众名人投的APP。

记得在一部叫做《互联网之子》的纪录片中，主角Aaron swartz曾经说道∶

编程是很神奇的，通过编程你可以完成常人所不能完成的事情，所以你拥有着神奇的力量。

他还说∶

我们的选择决定了互联网的好坏。

至于它会变成天堂还是地狱，这完全取决于我们的行动。

这个17岁就入读斯坦福，18岁辍学创立Reddit网站，19岁便成为百万富翁的少年，一生只有一个理想，那便是∶信息共享，言论自由。

于是在21岁那年，他下载并公开了270多份联邦法院的文件，只愿寻常人也可以享受到法律公开化的便利。

在24岁那年，他“非法”通过MIT的帐号下载JSTOR公司的学术期刊论文并上传至网络，只为让第三世界国家的学子也可以免费阅读到那些被出版商严格掌控下的学术论文，让普罗大众也可以查看到那些宝贵的科学文化遗产。

我想在这个时代里，总有人会把“改变世界”当作一种天赋与本能。

在这个世界既有的社会体系中，有的人会把最大限度的利用互联网资源而为自己谋利当作一生的追求，却也有人在这个技术革新知识爆炸的时代里，拥有了他们自己的信仰。

他们勇敢的挑战着当权者的利益，且为这个世界的不公而为之抗争。

Aaron最终被判13项罪名，面临35年监禁，100万美元的罚金。

26岁的他拒绝承认重罪，自杀身亡。

像所有先驱者一样，这个理想主义的少年败给了残酷的现实，却为这个世界分享了堪称无价的数据。

在他去世后不久，一个第三世界国家的少年因为看了他曾经免费分享的JSTOR上的学术论文，而发现了一种提早检测胰腺癌的方法。

几个月后，两名国会议员提交了Aaron法案，旨在帮助那些遭受惩罚过重的互联网罪犯。

我相信总有一天，信息共享的时代终究会到来。

因为比起小部分人的牟利，互联网注定将会成为绝大多数人的福祉。

因为总有一些人愿意突破俗世的藩篱，把全人类的幸福当作是自己的责任。

也因为总有一些人，他们拥有着神奇的力量，身体力行的改变着这个世界，倾尽一生，无怨无悔。

而他们，注定将会成为这个时代的信仰。

R.I.P

1.看到评论中很多对于知识共享的争辩，关于Aaron的初衷，我想可以用他曾经在反对SOPA(禁止网络盗版法案）中的一段演讲来阐释：

信息就是力量。但就像所有力量一样，有些人只想占为己有。世界上所有的科学和文化遗产，已在书籍和期刊上发布了数个世纪，正渐渐地被少数私有的公司数字化并上锁。想要阅读那些有着最著名研究成果的论文？你必须支付给如 Reed Elsevier 这样的出版商大把钱。强迫学者付费才能看到同事们的工作？扫描了所有图书馆，却只允许人们通过谷歌阅读？只为第一世界名牌大学的学生提供科学文献，却不给第三世界国家的孩子们？这是无耻和不可接受的。

2.Aaron在15岁的时候便参与构建Ctreative Commons(知识共享）。而知识共享这一理论则像种子一样深植心中，成为Aaron日后所信奉的行为准则规范，而真正的实现这一理论这也成为了他的梦想。

知识共享的基本内容是这样的∶

传统的著作权通常为两种极端，一端是“保留所有权利”，另一端则是“不保留任何权利”（即公有领域，public domain）。知识共享则试图在两者中间广大的灰色地带保有弹性，使得创作者可以“保留部分权利”。知识共享提供多种可供选择的授权形式及条款组合，创作者可与大众分享创作，授予其他人再散布的权利，却又能保留其他某些权利。知识共享的诞生是为了避免现代知识产权以及版权法在信息共享方面的问题。

知识共享并的理论并非旨在知识的自由获取，而是意在知识可以在无国界间、无种族间的自由流通。

3.Aaron的偶像是万维网的创始人—— 蒂姆·伯纳斯·李。

蒂姆的万维网既没有收取用户费用，也没有限制其使用，使万维网成为了第一个全人类的百科全书。他把万维网免费使用的构思推广至网络，促使了我们这个时代的信息革命的发生。

而Aaron就像蒂姆一样，不为名利，只为信仰。凭借Aaron的才智，他本可像乔布斯还有扎克伯格一样名利双收，然而Aaron却在漫长的诉讼中临近破产，花光了所有的积蓄。最终绝望而亡。

4.推荐大家看这部叫做《互联网之子》的纪录片，其中详细讲述了Aaron的一生，也阐述了他所信奉与践行的理论。

而我也希望，在看过这篇文章之后，大家也可以感受到黑客精神的另外一种魅力，感受到那份早已被这个时代的人们逐渐忘却的属于革命者的坚守与热血。

来私信的同学们已全部拉黑，不定期更新截图：）

基础社工101，同学们学会了吗？

以及热情的群众们你们真是够了。