殺手 JC 的告白，某 popo hacked 事件

殺手 JC 的告白

作者: JokerCatz (JokerCatz) 看板: Soft_Job
標題: Re: [討論] 維護者、道德與安全
時間: Wed Feb 20 10:52:05 2013

A...首先抱歉其實不太會用BBS

"城邦網留言「囧」暱稱　熱心駭客獲緩起訴"
http://0rz.tw/LIDpl

我是這篇新聞的作者與被告劉先生

這邊大概簡述一下來龍去脈和始末

首先，我是一個Rails的開發工程師，且並不以攻擊為樂，畢竟主要的工作是防御者
而非攻擊者


我有個在城邦工作的朋友，某一天丟了一個他新做的網頁：起點中文網
我測試了一下，發覺有非常嚴重的XSS漏洞，搜尋列亂下語法都會過
亂打一下就可以塞個miku的圖片進去之類的

他的回覆是因為上級和設計部門，也就是主事者說不能關，要給人玩HTML語法
我這邊對他說我願意提供程式，讓使用者可以玩基本的HTML，但JavaScript絕對不行
可是回覆是說...一定要給人玩，全部，不能關
後續才發現，不止起點中文網，連他們最大的POPO原創都是這個情況，留言板
搜尋列，甚至暱稱輸入的部分全部都沒擋


於是我這邊自作主張的說一定會讓他們知道嚴重性，因次發動的第一次的攻擊

大概就是兩行很簡單的jQuery，丟個post去他們的後台，讓使用者自己幫自己換暱稱，
格式為『囧+帳號名』，然而因為不想重複感染過渡擾民，所以有加cookie判定
(如果有flag就不會重複執行)，當然因為沒偷東西，所以也沒掩飾IP
連暱稱都用我常用的就是

感染人數無法判斷，不過大約200人左右，當然這聯入侵都稱不上
只能說是惡作劇的部分，完事後發信給對方，說他們有很嚴重的問題請改正
內容包括攻擊手法和程式碼和修正的結果

隔天，我看到類似這樣欲蓋彌彰的做法
<script>jQuery(function($){...我的code...})</script>
<script>//jQuery(function($){...被修正的code...}</script>

okay，就這樣，之後也完全沒有回覆，再次詢問內部工程師，他說沒辦法
真的不能改，而且甚至有前例可循，類似HTML被亂改和Logo被改掉
他們也沒辦法，就是要開，因為長官說使用者會問為何之前的功能不能用了？


所以在URP上公佈，並規劃了第二次攻擊

第二次惡作劇的內容大概是寫個會自我感染且釣魚手法的投影片Script
1.如果是登入會員，會詢問密碼，內容為：
  "請再次輸入您的密碼，來享受POPO推出的新安全閱讀環境"(大概是醬)
  然後還會去後台驗證使用者的密碼，錯誤還會出現"請再輸入一次"
2.如果(1)取到，將密碼編碼成類似"W*****n"，塞進其中一個投影片並清除暫存密碼
3.不管是否有經過(1)，都會繼續進行投影片的動作，而投影片看完一樣塞入cookie
  一個flag不重新執行投影片動作，不過該書本的留言區會被閉鎖(一個貓咪圖案)
  為了不讓該script因留言分頁而不見，點擊貓咪圖案還可以再看一次
4.使用者如為登入會員，於(3)執行時，會複製自己的code到首頁和隨機的書本內

anyway，因為有複製能力，整個站很快就充滿著code...

隔天早上可以觀看到對方有清理的動作，清理的方式是...
<script src="xxx/xxx.js"></script> //清理前
<script src="xxx/xxx.j"></script> //清理後

然而...因為該code有自我感染能力，所以可能還有人在看，簡單的來說就是清不完
所以才在中午時全站關站維修之類的


anyway之後就是無盡有趣的爆點了...警察和檢察官那邊的...
大概就是一票人說我多管閒事...管他去死...去台北市刑大吃便當...和他們有說有笑...
然後偵察庭檢察官打對方臉...還說市刑大超幫我說話的，有的沒的X"DDD


anyway目前手邊還有很多他們系統的漏洞，不過至少最大的那個已經被我身先士卒的
擋掉了，而他們後來因為安全性而罔顧了自由性，那...就是他們自己選擇的做法就是了
我本來對這個網站有非常多的期許，可以做得更好，更有趣，不過看來他們這樣的風氣
，也就是嚴重官僚而非平行溝通的部分，自己真的不能苟同就是了


我從頭到尾總共發超過四封，超過一萬字到他們的客服，包括弱點和相關內容
他們只有一封回我

{   Joker Catz  您好

    您的來信站方已收到，本件因已進入司法偵查程序，故已轉由本部處理。
    由於本件將於2月4日至地檢署開庭，如您有任何意見表達
    可於當日與本公司代表當面討論。

    城邦媒體控股集團  法務部   }

這就是到目前我所知道的POPO，你呢？