不管怎样,B站的反应太慢了。
说是B站后台源代码被开源帖到github了。
详情见出处。
不是很懂这个,跟数据库应该是两码事?感觉大概是容易被攻击了吗。
有没有大佬聊下对普通用户的影响
详情见出处。
不是很懂这个,跟数据库应该是两码事?感觉大概是容易被攻击了吗。
有没有大佬聊下对普通用户的影响
评论
出处里面高赞大佬说的还挺清楚的,主要就是搞灰黑产的会从源码找漏洞来攻击B站
用户账户密码怎么可能在源码里。。。
(知乎的最火的这个问题的讨论已经被删了,不过出处那个竟然还在
(知乎的最火的这个问题的讨论已经被删了,不过出处那个竟然还在
最多是被攻击 数据库不可能有事
@lovemytieria 这个是假的......数据库跟源码是两码事
@youngsheep12 这个的意思是如果被人找到漏洞攻破,则数据库里的用户的账号密码会被盗。(比如用管理员账号密码直接连接B站数据库,虽说这个数据库不一定对外网暴露,但也讲不定有办法渗透,比如上传木马)
而且现在无法保证漏洞什么时候完全被修复,所以现在改了也不管用。
最好就是把这个账号孤立出来,和其他账号完全不一样,以免被连带盗号(我也想每个账户不同密码啊,可惜记不住,第三方软件又麻烦)。
而且现在无法保证漏洞什么时候完全被修复,所以现在改了也不管用。
最好就是把这个账号孤立出来,和其他账号完全不一样,以免被连带盗号(我也想每个账户不同密码啊,可惜记不住,第三方软件又麻烦)。
@lovemytieria 害怕
@rico_chow_ @nanashiowen @sakura_p789cs @youngsheep12 我也感觉应该跟数据库没关系,只是一楼那个有点吓人
@wubs12345 总之也就是说先改成跟其他账户不一样的临时密码先,等以后再改安全密码这样吗
@rico_chow_ @nanashiowen @sakura_p789cs @youngsheep12 我也感觉应该跟数据库没关系,只是一楼那个有点吓人
@wubs12345 总之也就是说先改成跟其他账户不一样的临时密码先,等以后再改安全密码这样吗
业务环境源码的话今晚逸国后端怕是灯火通明了
我估摸着过几周zzzfun,halihali这种小站的使用体验会明显上升
ikun岂不是头顶青天了
唉,危险啊,若是搞到漏洞,拿用户的密码去撞用户相关的其它帐号,就大事了……
好久没上b站了。
ikun这下又要背锅了,真惨
源码和数据库不是一回事,开源估计是为了方便别的网站方便调用B站的视频,但是后台的一些操作,比如黑名单、会员视频等等机制被人知道了不是好事。比如水军刷数据,知道后台怎么判断以后,可能就会出现像微博一样的流量明星。
说数据库没事的醒醒啊。。你们也太低估黑客的能力了
美股盘前跌5%,市场的反应看来已经证实了
我猜是某极端篮球组织做的
阴险的小套路全暴露了,笑死
@mirabelfrey 我猜是他哥哥孙笑川做的
帐号不值钱,也没实名,更没大会员,就收藏里有几百个Vtb视频,被攻击了也不慌
@ksha_las 主要还是撞库吧,尤其喜欢用一个密码的人
虽然是历史版本的源码,不过那些注释确实。。
幕后黑手是谁就不用我说了吧
惊了,上GIT居然没用微辟恩
被员工上传真是太秀了,哈哈
黑客要攻击,一般是可以让服务器变卡甚至瘫痪,但是要盗数据那就是另外一回事了,一般被盗数据都是有程序漏洞。
管理员账号密码泄露之类,只要及时改密或者直接换管理员账号就是了。及时有人再改密之前连接上去,最多也就是查看一些信息搞些小破坏。要大批量的获取修改数据至少是得能连接上数据库。
但是泄露又不是数据库连接账号密码,即使数据库泄露的也有ip白名单验证,其他服务器ip也连不上。
做到B站这种量级的网络公司,对数据保护至少都有2手以上的招式,即使被破了一道也问题不大的
管理员账号密码泄露之类,只要及时改密或者直接换管理员账号就是了。及时有人再改密之前连接上去,最多也就是查看一些信息搞些小破坏。要大批量的获取修改数据至少是得能连接上数据库。
但是泄露又不是数据库连接账号密码,即使数据库泄露的也有ip白名单验证,其他服务器ip也连不上。
做到B站这种量级的网络公司,对数据保护至少都有2手以上的招式,即使被破了一道也问题不大的
@sabinesbdc 据说是离职员工,去年底裁掉那批
推荐一波dashlane
对于普通用户,最坏的情况就是b站后台数据在一段时间内对黑客透明,所以不要做敏感操作,若有重要个人信息可以先删除。。就算改密码,也得改一个新的独立密码
另:定期查看登录记录
另:定期查看登录记录
黑客什么的在抓了吗
到底是ikun还是用iphone6玩bgo的玩家呢?
上传代码的人找到了@带带大师兄 罪大恶极建议击毙@平安批站
@mario_sp07 狗粉丝gck
ikun:有钱真的可以为所欲为
是cxk的粉丝搞的吗?
有几点想说明下,昨天我也看了下他们的库,里面是后台的业务代码,粗略看那些没有涉及到登录系统(可能看漏了),这个是正常的,登陆系统单独另外做可以提高发生这种事情之后的安全性。当然目前仍然不能排除危险。
后台源码漏出来最大的问题是里面涉及的大量业务的api。会被人挖掘出很多东西。比如昨天看到就有个注释写着“抽奖不成功也要发送弹幕,概率20%,造成一种很多人中奖的假象”,这就是在后面偷偷做什么手脚会被人扒出来。这就涉及业务逻辑,相当于暴露商业机密了,竞争对手会开心的要死。
另外,api及其内部逻辑被完全曝光了,很可能会导致一些活动刷单等针对性攻击。以前都是根据接口请求啥的分析你的业务逻辑,现在直接内部源码都给你看了,相当于b站少了一道防线。
这次损失是非常巨大的,甚至导致b站后台项目全部推翻重写都有可能……
后台源码漏出来最大的问题是里面涉及的大量业务的api。会被人挖掘出很多东西。比如昨天看到就有个注释写着“抽奖不成功也要发送弹幕,概率20%,造成一种很多人中奖的假象”,这就是在后面偷偷做什么手脚会被人扒出来。这就涉及业务逻辑,相当于暴露商业机密了,竞争对手会开心的要死。
另外,api及其内部逻辑被完全曝光了,很可能会导致一些活动刷单等针对性攻击。以前都是根据接口请求啥的分析你的业务逻辑,现在直接内部源码都给你看了,相当于b站少了一道防线。
这次损失是非常巨大的,甚至导致b站后台项目全部推翻重写都有可能……
@gggpoint 历史也历史不到哪里去,群内大佬看了连拜年祭都有,最早不会早于2月吧。。。
b站这次最大影响就是给各种培训机构提供了一份极好的golang教学案例 顺带推广golang
歪个楼哈,以前听人说过抖音的防刷机制特别牛逼,刷子团队研究了两年一直攻不下,后来就逐渐拿下了,本人小白想知道是如何做到的以及之后的事情走向,有大佬愿意科普一下吗?
@scgabriel 《go语言从入门到B站源码重构》
我昨天下了一份,然而我对go语言不感兴趣,嫌Java麻烦可以用Kotlin。
Go的生态实在是不行
,嫌Java麻烦可以用Kotlin。Go的生态实在是不行
@带带大师兄
就是你把批站代码上传的?你可真是个带恶人,建议击毙。@平安批哩批哩
就是你把批站代码上传的?你可真是个带恶人,建议击毙。@平安批哩批哩
@aakarin 
你这么一说我开始慌了
你这么一说我开始慌了
@moemipa Go性能太强
@wfhtony199696969 这是公司的邮件?读的好累,错误一堆,最不能忍的是有的句子后面有空格有的没有。高中生写的文章都比这好吧。。。
@wfhtony199696969 妈耶这英语……敲完不check,是老板了……
妈耶这英语……敲完不check,是老板了……
@scgabriel 差不多 年前裁的那一波也就3月前
@nanashiowen 高考时写成这水平恐怕一本没戏吧。。。
@havinshall 太夸张了吧,我211毕业,写的估计都不如这种,p9人均985以上吗?
回复不能