你所看到的“真相”

12 Apr 2015 - evi1m0

我在 14 年初的时候写过一篇关于入侵隔壁路由的文章,文章发出后引起了很多专注,其中一大部分原因取决于良心媒体与无良媒体的推崇,毕竟像这种好素材不常见了。随后因为各种无良媒体未经授权的夸大篡改文章,我发表了一篇关于良心媒体的文章,这阵风波在六月份左右得以平静。这期间我继续发表着其他有趣的文章,但平静总是短暂的,今年初我在公众号后台和邮件收到不少关于对今日头条的文章抄袭举报,我简单的看了下把文章简单的拆分并修改然后以自身名义发表在第一文章导航,这倒是没啥,微博上简单的骂了几句傻x基本上事情就算完了。

这篇文章当然不是单纯咒骂今日头条的无良,刚刚我发了这样一条微博:

翻邮件发现之前与今日头条举报交涉的邮件,有段时间不少纸媒还和它们打过官司,最后结果无所谓,重要是依然继续忽视“举报”,当然这条微博的重点不是说这事。让我想起了以前有趣 APP 抓包,反正 XSS 盲打是在举报处没辙的,不是因为过滤的咋样,而是因为功能本身都是假的,上了 JS 特技(伪成功)

从无良媒体的世界走开后,来看看真实的网络世界,简单说下你所看到的互联网世界,这个世界是危险的,充满陷阱的,无知的网民像一只只任意宰割的小绵羊生活在狼口,好在世界还有不少好人,他们在有偿或无私的奉献传颂着所知道的防御法。

我在去年一段时间对 APP 应用市场上不少软件把玩过,其中包括漏洞挖掘和流量分析,在流量分析的过程中发现了很多有趣的东西,例如我们经常会在 APP 关于我们中找到举报功能,但实际上他们都是假的,而且真的都加了特技,这个特技诸如使用 Javascript 对输入框进行检测,倘若反馈内容不为空,则点击提交后提示“您已经反馈成功!请耐心等待我们的审核!”。想想看你辛辛苦苦写的信息反馈还真不一定能够传送到产品后台,对于我倒是没啥,无非是少个漏洞测试的可能性,但就像刚刚提到的今日头条的举报反馈入口,作为一名真实需求的反馈者,我们都是迫切希望举报/反馈信息传达到管理者眼前的。

还有那些假的连初中生都不相信的广告、招聘、微博、文章、代购,其中代购又是有趣的一个分支,他/她们不辞辛苦的像身边朋友推送着极有价值的商品,但你如果真正看看可能他们自己都没有多少人在用这种神器,至于支付宝、微信的收款截图,网上似乎已经有了免费软件供有需求的代购商制作效果图,当然人家还是有良心代购的,就像有良心的媒体那么少。

我之前发表过一篇《Mongodb未授权访问漏洞全网探测报告》,如果看过的朋友可能会知道,此次扫描发现的漏洞主机量是有多么大,之后的几个星期里我对这些数据库进行数据分析时发现了很多 APP 的服务器,其中有不少服务器里面保存了用户新浪微博授权的 accessToken ,详情可见《Mongodb未授权访问漏洞之某主机泄露新浪微博accessToken》。

很多 APP 或网站可以让用户通过新浪微博授权登录以使得无需注册,这样会在授权的网站中留下你的 accessToken 以方便软件获取你的微博信息,当然有了你的 accessToken 自然是能操控你的微博,授权是有时效性的,也就是周期结束后如果你没有再次授权,这个 token 即会摧毁不可用。

但就在这样的一个前提下,我依然拿到了大量的授权微博登录用户的 accessToken ,虽然我并未拿这些信息来做坏事,八卦时间:其中一款 APP 为女性使用者居多,所以几万个微博多半都是女性群体,价值在于?

“你以为我的微博评论都是粉丝吗?其实都是假的,加了特技的。”

就在我编写这篇文章的时候,我发表了上面的微博并使用大批傀儡微博参与互动,也就是其实都是假的,至于特技:

http://ww1.sinaimg.cn/large/c334041bgw1er375ogec9j20k403pwfc.jpg

创建一个评论列表,定义评论不同的水军字符串,随机选择一款并调用微博 API 进行评论:

所以可以看到,两分钟内微博由不同的粉丝评论和不同内容已经到达了137条,我停下脚本点燃烟。这时你可能已经知道,真实世界可能不是我们看到的那样美好。

尽管如此,我们仍然要保持一颗太阳心,力所能及的保持着。

评论插件使用 Disqus ,需翻墙才能查看及留言。