登录
认证
游戏
机因
问答
数折
约战
闲游
Store
bilibili
说是B站后台源代码被开源帖到github了。
详情见出处。
不是很懂这个,跟数据库应该是两码事?感觉大概是容易被攻击了吗。
有没有大佬聊下对普通用户的影响
出处
微博
微信
saki_tsuki
2019-04-22 17:59 50回复
评论
不管怎样,B站的反应太慢了。
lovemytieria
2019-04-22 18:21修改
出处里面高赞大佬说的还挺清楚的,主要就是搞灰黑产的会从源码找漏洞来攻击B站
rico_chow_
2019-04-22 18:05
用户账户密码怎么可能在源码里。。。
(知乎的最火的这个问题的讨论已经被删了,不过出处那个竟然还在
nanashiowen
2019-04-22 18:58修改
最多是被攻击 数据库不可能有事
sakura_p789cs
2019-04-22 18:14
@lovemytieria
这个是假的......数据库跟源码是两码事
youngsheep12
2019-04-22 18:16
@youngsheep12
这个的意思是如果被人找到漏洞攻破,则数据库里的用户的账号密码会被盗。(比如用管理员账号密码直接连接B站数据库,虽说这个数据库不一定对外网暴露,但也讲不定有办法渗透,比如上传木马)
而且现在无法保证漏洞什么时候完全被修复,所以现在改了也不管用。
最好就是把这个账号孤立出来,和其他账号完全不一样,以免被连带盗号(我也想每个账户不同密码啊,可惜记不住,第三方软件又麻烦)。
wubs12345
2019-04-22 18:19修改
@lovemytieria
害怕
@rico_chow_
@nanashiowen
@sakura_p789cs
@youngsheep12
我也感觉应该跟数据库没关系,只是一楼那个有点吓人
@wubs12345
总之也就是说先改成跟其他账户不一样的临时密码先,等以后再改安全密码这样吗
saki_tsuki
2019-04-22 18:19修改
业务环境源码的话今晚逸国后端怕是灯火通明了
certain_li
2019-04-22 18:22
我估摸着过几周zzzfun,halihali这种小站的使用体验会明显上升
mahaif
2019-04-22 18:22
ikun岂不是头顶青天了
dairomu
2019-04-22 18:25
唉,危险啊,若是搞到漏洞,拿用户的密码去撞用户相关的其它帐号,就大事了……
celebi-pm-251
2019-04-22 18:26
好久没上b站了。
accd1987
2019-04-22 18:30
ikun这下又要背锅了,真惨
xmy663521583
2019-04-22 18:32
源码和数据库不是一回事,开源估计是为了方便别的网站方便调用B站的视频,但是后台的一些操作,比如黑名单、会员视频等等机制被人知道了不是好事。比如水军刷数据,知道后台怎么判断以后,可能就会出现像微博一样的流量明星。
linkeder
2019-04-22 18:45
说数据库没事的醒醒啊。。你们也太低估黑客的能力了
cjwjy007
2019-04-22 18:48
美股盘前跌5%,市场的反应看来已经证实了
light_lee_moon
2019-04-22 18:58
我猜是某极端篮球组织做的
mirabelfrey
2019-04-22 19:08
阴险的小套路全暴露了,笑死
v838monova
2019-04-22 19:22
@mirabelfrey
我猜是他哥哥孙笑川做的
ringer19921123
2019-04-22 19:24
帐号不值钱,也没实名,更没大会员,就收藏里有几百个Vtb视频,被攻击了也不慌
ksha_las
2019-04-22 19:28修改
@ksha_las
主要还是撞库吧,尤其喜欢用一个密码的人
aakarin
2019-04-22 19:35
虽然是历史版本的源码,不过那些注释确实。。
gggpoint
2019-04-22 20:49
幕后黑手是谁就不用我说了吧
notmyzhang
2019-04-22 21:00
惊了,上GIT居然没用微辟恩
weakchiken
2019-04-22 21:30
被员工上传真是太秀了,哈哈
sabinesbdc
2019-04-22 21:31
黑客要攻击,一般是可以让服务器变卡甚至瘫痪,但是要盗数据那就是另外一回事了,一般被盗数据都是有程序漏洞。
管理员账号密码泄露之类,只要及时改密或者直接换管理员账号就是了。及时有人再改密之前连接上去,最多也就是查看一些信息搞些小破坏。要大批量的获取修改数据至少是得能连接上数据库。
但是泄露又不是数据库连接账号密码,即使数据库泄露的也有ip白名单验证,其他服务器ip也连不上。
做到B站这种量级的网络公司,对数据保护至少都有2手以上的招式,即使被破了一道也问题不大的
elertmd
2019-04-22 21:46
@sabinesbdc
据说是离职员工,去年底裁掉那批
imokyo
2019-04-22 22:00
推荐一波dashlane
fred_sanity
2019-04-22 22:14
对于普通用户,最坏的情况就是b站后台数据在一段时间内对黑客透明,所以不要做敏感操作,若有重要个人信息可以先删除。。就算改密码,也得改一个新的独立密码
另:定期查看登录记录
crashcreator
2019-04-22 22:22修改
黑客什么的在抓了吗
nimamazhale
2019-04-22 23:22
到底是ikun还是用iphone6玩bgo的玩家呢?
knightneil10
2019-04-22 23:59
上传代码的人找到了@带带大师兄 罪大恶极建议击毙@平安批站
mario_sp07
2019-04-23 00:15
@mario_sp07
狗粉丝gck
teruterubozu_626
2019-04-23 01:23
ikun:有钱真的可以为所欲为
easuon
2019-04-23 01:24
是cxk的粉丝搞的吗?
oz-bezalius
2019-04-23 09:33
有几点想说明下,昨天我也看了下他们的库,里面是后台的业务代码,粗略看那些没有涉及到登录系统(可能看漏了),这个是正常的,登陆系统单独另外做可以提高发生这种事情之后的安全性。当然目前仍然不能排除危险。
后台源码漏出来最大的问题是里面涉及的大量业务的api。会被人挖掘出很多东西。比如昨天看到就有个注释写着“抽奖不成功也要发送弹幕,概率20%,造成一种很多人中奖的假象”,这就是在后面偷偷做什么手脚会被人扒出来。这就涉及业务逻辑,相当于暴露商业机密了,竞争对手会开心的要死。
另外,api及其内部逻辑被完全曝光了,很可能会导致一些活动刷单等针对性攻击。以前都是根据接口请求啥的分析你的业务逻辑,现在直接内部源码都给你看了,相当于b站少了一道防线。
这次损失是非常巨大的,甚至导致b站后台项目全部推翻重写都有可能……
mordom0404
2019-04-23 09:45修改
@gggpoint
历史也历史不到哪里去,群内大佬看了连拜年祭都有,最早不会早于2月吧。。。
scgabriel
2019-04-23 09:50
b站这次最大影响就是给各种培训机构提供了一份极好的golang教学案例 顺带推广golang
scgabriel
2019-04-23 09:55
歪个楼哈,以前听人说过抖音的防刷机制特别牛逼,刷子团队研究了两年一直攻不下,后来就逐渐拿下了,本人小白想知道是如何做到的以及之后的事情走向,有大佬愿意科普一下吗?
liuzhai
2019-04-23 11:31修改
@scgabriel
《go语言从入门到B站源码重构》
wtssg1249515159
2019-04-23 12:17
我昨天下了一份,然而我对go语言不感兴趣
,嫌Java麻烦可以用Kotlin。
Go的生态实在是不行
moemipa
2019-04-23 13:45
@带带大师兄
就是你把批站代码上传的?你可真是个带恶人,建议击毙。@平安批哩批哩
ryoukey
2019-04-23 17:06
@aakarin
你这么一说我开始慌了
ksha_las
2019-04-23 17:42
(via
GitHub
)
wfhtony199696969
2019-04-24 12:48
@moemipa
Go性能太强
chen04027
2019-04-24 12:58
@wfhtony199696969
这是公司的邮件?读的好累,错误一堆,最不能忍的是有的句子后面有空格有的没有。高中生写的文章都比这好吧。。。
nanashiowen
2019-04-24 13:31
@wfhtony199696969
妈耶这英语……敲完不check,是老板了……
amekikyou
2019-04-24 13:38
@scgabriel
差不多 年前裁的那一波也就3月前
gggpoint
2019-04-25 12:05
@nanashiowen
高考时写成这水平恐怕一本没戏吧。。。
havinshall
2019-04-25 17:34
@havinshall
太夸张了吧,我211毕业,写的估计都不如这种,p9人均985以上吗?
moemipa
2019-04-25 18:20
回复不能
saki_tsuki
贵宾 Lv.3
T