秘密

剛剛在微博上以為叫ringzero的安全從業(yè)者給了一張截圖，看起來像是無密的后臺（真假未知），并發(fā)表了內容——#秘密#細節(jié)咱們7月烏云見！！！

其實遠遠在這個之前，我就已經(jīng)從個人消息途徑里打聽到了秘密被拖庫的事，如果庫都被拖了，那么后臺泄露自然是很容易的事了。由于后臺截圖不全，并不能知道發(fā)布人的真實信息是否能看見，也不清楚通過后臺是否可以獲得webshell乃至服務器權限。就我個人的推測，這次爆料的動機可能有以下幾種：

某黑客早已拖庫得手了，玩服務器也玩膩了，于是就公開讓行業(yè)內震精一下。

得到后臺權限，但是找不到可以拿shell的點，又懶得去搞apt，于是就公開，這個可能性比較小。

某大牛獲得了多個漏洞，先小范圍公開爆料一個危害等級低的，或者是告訴了某些黑客朋友，這些朋友中間有人抖了出來。

最近匿名社交打得很厲害，于是黑客成為了競爭中的兵器，在已拖庫的前提下，爆料漏洞，可以起到公關上震懾的效果，如果是這個可能性的話，黑客可能掌握了非常多的商業(yè)機密和用戶隱私，很可能有很多后續(xù)問題。無秘不認真處理的話，還會有更多問題爆料出來。

無密的這個漏洞給人感覺的價值還是不小的，至少那些xx門的主角都想知道是誰黑了自己。前一段時間傳言說投資人爭相投資無秘就是為了看那些匿名爆料者的真實身份。

黑掉一個匿名社交網(wǎng)站有多難？用一句廢話來說就是只要是人設計的產品都有漏洞。移動客戶端只是用來和接口進行交互的，最終還是需要一個server來進行交互，不過如果只是生成接口的server，除非有像上次攜程那樣的疏忽（其實可能性不小），否則的話可簡單利用的場景還是不多的，但是如果有一個web版的后臺可就不一樣了。

比方說，如果存在一個持久型xss，黑客提交一個xss腳本到消息里面，再讓管理員以某種方式瀏覽這條消息，這時候就容易得到管理員的隱私，從而可以用來欺騙后臺直接得到管理權限，這時候還有一條命，如果后臺存在可獲得webshell的漏洞，那就全玩完了。

匿名社交網(wǎng)站低廉的開發(fā)成本決定了安全性不會太高，上述這個方法只是眾多入侵手段的一種，即便不能入侵服務器，也有很多方法獲得用戶隱私，當這個隱私性價比很高的時候，比如在媒體或者投資機構周圍進行數(shù)據(jù)嗅探，甚至中間人攻擊，一樣會有黑客去這么做。匿名社交在目前看來是有隱私安全風險的，如果你的真實身份對比你爆料的內容來說很敏感的話，使用時一定要謹慎。

人生如戲 厲哥出品

【微信號】mintshow

人生如戲，全靠演技。

游戲人生，行走江湖。