这是一个创建于 265 天前的主题,其中的信息可能已经有所发展或是发生改变。
笑死我了,该员工被开盒了,00 后,因跟用户对骂,怼不过,利用权限恶意植入 xss 攻击脚本
补个图片
 | 1 x86 265 天前 哪里想看看 |
 | 2 serialt 265 天前 成年人做孩子行为,找死 |
 | 3 shelken 265 天前 via iPhone  11 看到 b 站现在一堆低龄发言,氛围越来越差。弹幕和评论有些发言简直蠢的没边了 连自家程序员都能随便对用户进行攻击,真是管理也烂透了 b 站股价还能跌个 90%,我要有能力,我真想做空 b 站 |
 | 4 mcone 265 天前 胆子真肥,这玩意要是 big bro 想借机做做文章,估计蒙古上单的预言要成真了 |
 | 5 hafuhafu 265 天前 2 之前字节那个对同事出击,这个对用户出击,大家都有光明的未来 |
 | 6 Lykr 265 天前 没有代码审核,也没有自动化的安全检查是吧,B 站技术这么拉么 |
 | 7 Solix 265 天前 via iPhone 5 都是草台班子 |
 | 8 WorldDominator 265 天前 via iPhone 估计是要进去了, 图个啥, 网上就算能赢这辈子也毁了 |
 | 9 BAT 265 天前 via iPhone |
 | 10 DTCPSS 265 天前 via iPhone Naive |
 | 11 microka 265 天前 |
 | 12 aladd 265 前 笑死,我成哥有事是真办啊~ 绝对不口嗨! |
 | 13 irisdev 265 天前 费这么大劲意义何在...不如开盒或者线下真实 |
 | 14 azhangbing 265 天前 via iPhone 技术不应该被恶意使用 说到底还是人的问题 |
 | 15 oamu 265 天前 真刑,希望阿 B 狠一点,送他进去。 |
 | 16 Leeeeex PRO 直接挖坟封号都比这么搞好得多,笨 |
 | 17 sunny352787 265 天前 连代码审核都没有吗?之前后台代码被传到 github 之后还这么草台? |
 | 18 lindas 265 天前 得进去了吧 |
 | 19 BigShot404 265 天前 2 这个宣扬仇恨的平台出什么乱七八糟的事我都觉得正常 |
 | 20 Felldeadbird 265 天前 太没职业道德了,这种做法断送前程. |
 | 21 xw340721 265 天前 @sunny352787 我看简历说 23 年毕业,现任 b 站 xx 项目负责人.如果不是自己吹写的发,真的负责人的话,阿 b 是没人才了,还是没眼光. |
 | 22 LieEar 265 天前 程序员的耻辱 |
 | 24 ChefIsAwesome 265 天前 乐。有这权限,弄个挖矿的脚本,不得赚死了。 |
 | 25 asdfasasdf 265 天前 @Cu635 #23 这样做的意义是啥,视频本身并没有下架,难道只是判断了引用来源来决定视频是否展示? |
| 26 sunny352787 265 天前 @xw340721 还是管理流程有问题,即便是负责人也不能这么提交代码,至少要有两个人进行审核,主程提交代码也得找俩人 approve ,流程死规定谁都别想绕过 |
 | 27 yinanc 264 天前 逆天草台班子 |
 | 28 930RC92EtcpqT2vM 264 天前 所是攻击范围和对用户影响是什么? |
| 29 x86 264 天前 @allpass2023 #28 只能吓唬不懂的人 |
 | 30 yoyoyoyolol 264 天前 之前爆料的 b 站抽奖都是被自己内部的人抽了,每次中奖还发帖在那秀,名字也不改每次都是一个人 |
 | 31 proxytoworld 264 天前 @x86 注入了 js 代码,能操控用户账户,只是那个人没这样做而已 |
 | 33 Ocean810975 264 天前 @asdfasasdf 很久之前 b 站就有 HTTP Referer 的跳转检测,一段时间内 NGA 甚至打不开任何 b23 短链,可能是为了避免站外不好的消息扩散,放站内就不管了? |
| 34 oamu 264 天前 @allpass2023 #28 好像是攻击和他有矛盾的特定用户,拦截页面,执行删除投稿的操作。 |
 | 35 mooyo 264 天前 正常,国内基本没 CR ,随便上 master 的。这老哥估计要进去了 |
 | 36 Cu635 264 天前 @asdfasasdf #25 为啥不下架我确实说不好,猜测是因为这事儿极其严重,而且也确实侵害的是公司利益,下架了负面影响更大,所以才没下架?不过也确实有可能因为现在是风口浪尖,下架了影响更大,准备等着热度过去了再下架的。 不过决定视频是否展示这个原因很简单:控制传播。 @WorldDominator #8 @azhangbing #14 @oamu #15 @lindas #18 @ALLROBOT #32 @mooyo #35 这就是应该“破坏计算机信息系统罪”上场的时候了。 @Lykr #6 @sunny352787 #17 @sunny352787 #26 恐怕不是技术拉,而是因为“降本增效”裁员搞得。 @mcone #4 啥预言?能给指个路么? |
 | 37 dule 264 天前 我靠,难怪我最近打开 b 站就觉得异常的卡,刷新了好多遍 |
 | 38 JohnShaw 264 天前 卧槽,可惜离职了,不然要好好吃吃瓜。b 站草台班子好不意外,在里面干了这么多年一点不吃惊这种事。之前还有泄露主站源代码然后人跑机场的事呢。 |
 | 39 phrack 264 天前 草台班子 |
 | 40 FlashEcho 264 天前 6 还有一个提到的事,这个开发还查了生产数据库,拿到了对方的实名信息,用这个实名信息把对面开盒了 一个普通的开发能随便查用户的数据,这个离谱程度不亚于引入漏洞 |
 | 42 fredhwang 264 天前 之前在 tiktok 上也遇到过,一个人莫名其妙地让我别用 tiktok,骂了它一顿,自那以后我的视频就没流量了.估计这个人是 tiktok 的. |
 | 43 Remember 264 天前 1 破坏计算机信息系统 这个刑事罪该用的时候,是不可能用的。 |
| 44 FlashEcho 264 天前 @LiuJiang #41 真的,你看 BV1PvcqeBEqn ,里面私信都把实名信息爆出来了,明显是去数据库查了,b 站这种量级的公司,开发能随便去生产查敏感数据,太离谱了 |
| 46 FlashEcho 264 天前 1 @LiuJiang #45 bv 号,完整链接是: https://www.bilibili.com/video/BV1PvcqeBEqn ,你想看别直接点链接跳转过去,现在这个视频在 b 站的监控中,搜索功能不到,同时会检测 refer ,直接从 V2EX 过去会显示视频不存在,复制链接到浏览器打开能看 |
 | 47 hazardous 264 天前 开发人员可以随意查询数据库,是独此一家呢,还是各大网站普遍的缩影呢? |
 | 48 leegradyllljjjj 264 天前 1 看了视频太难绷了,舞了半天 最后来了一句你给我把网页端打开 相当于验证码发我一下 |
 | 49 Jakarta 264 天前 via Android b 站视频现在是可以高级限流的,搜不到、不会被推荐,但直接输网址可以访问。 |
Select Language