V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  aa45942  ›  全部回复第 4 页 / 共 9 页
回复总数  174
1  2  3  4  5  6  7  8  9  
2015-09-22 11:46:52 +08:00
回复了 ryon 创建的主题 酷工作 个人基因组项目公司, WeGene.com 招聘各类技术伙伴
这待遇...一口老血
@choury 恩,我也同意你观点,不是有人分析说是前中后各 5k 数据的 hash 么
总之我的观点是迅雷可以用,不过前提是保证那个链接是正常的。

不过我的确没想到迅雷居然不校验下载链接域名是不是被劫持了,只能说如果迅雷真的在这个原因上出了被投毒事件,他们一点都不冤
需要登录说明对这个文件的下载有限制,跳转则是防盗链、确认用户授权等
一般这个时候的真实下载链接是个临时生成的值,不跳转无法获取,而且这个地址需要相应的 cookie 才能访问,否则使用固定地址的话随便哪个人都能下载了,登录就没意义

不过也有一些网站下载链接其实是固定的(比如微软),让你登录只是例行公事一样的行为,这个时候如果你知道真实地址是可以直接下载的
@est 还是有区别的,需要登录的链接其实是要经过一个跳转才能到达真实下载链接(本地可访问),如果登录失败,会返回不一样的页面(世界可访问),但无论如何,对于普通用户总是能从这个链接下载到服务器上的东西而非被投毒的程序
@can 你可以看看我的分析,大概解释了迅雷如何避免可用下载链接的投毒

不过这又带来一个新的隐患:对于死链,这套机制下迅雷是无法避免被投毒的,也就是说攻击者只需要破坏掉源文件地址的可访问性,那么通过这些地址用迅雷下载文件的用户就有可能被投毒而不自知

比如通过漏洞攻破下载站,然后将下载站的下载文件设置成无法访问的状态
或者投毒某些自然失效的下载链接
@est 不行,首先正常 URL 对于迅雷服务器来说是失效的(无法正常访问),而对于本地是有效的(本地访问带 cookie ),投毒者使用修改 HOSTS 的方式使得迅雷离线服务器的文件变成了有毒 XCode ,但是由于已登录的普通用户可以在本地访问该地址,由第二条可知,用户下载时因为迅雷离线服务器发现该文件 hash 与保存在服务器的 hash 不一致,导致离线服务器文件更新为正常版本的 XCode ,于是普通用户只需要正常操作下载即可,投毒失败

去外部传播此类地址也是不合适的,因为正常用户会直接点击该下载链接,然后用户会发现此页面不存在
唯一的办法是告诉别人只能右键使用迅雷下载,但是如此明显不合理的做法肯定引起用户怀疑,极易被人发现下载回来的 XCode 不对劲
@est 然而并非任意地址,该方法只对无效地址有效。
亲测只要是源下载地址可访问,迅雷不会从修改后的 ip 访问资源(无论是否勾选从原始地址下载)
故又得出如下结论:
1.迅雷服务器访问链接检查文件是否存在,若存在则从此地址文件获取 hash ,若 hash 与离线服务器保存的一致,从源地址、离线服务器、 p2p 节点中获取数据返回给下载用户
2.若 hash 与离线服务器保存的不一致,离线服务器会更新此文件,重新生成文件 hash 然后保存

3.若文件不存在,则从本地访问该链接(猜测迅雷考虑到文件被保存在局域网的情况),若文件存在,处理同上

4.若本地访问也不存在此文件,则检查服务器是否保存有该下载链接的记录,若存在此记录,返回最近一次被成功下载的文件,若不存在此链接记录,返回任务失败(为了解决链接失效问题)

显然第 3 条造成了地址投毒,而到达第三条的必要条件为源下载地址不可访问,即源地址失效 /无效
实验 2 :
依旧是这个地址,我服务器上的文件换成了 B ,再次更改本地 HOSTS ,使用迅雷下载了一次
http://www.163.com/qy.mp3

修复 HOSTS ,再次使用迅雷下载时发现此文件也变成了 B ,此时文件来源为离线服务器与高速通道加速
故可得出结论:在迅雷服务器中,对于这条失效的下载链接,迅雷保存了最近一次能够正常使用此链接下载的文件的 hash

A 文件大小:
5,059,095 字节
B 文件大小:
4,260,335 字节

大伙现在可以试试,看看现在能下载到哪个文件
http://www.163.com/qy.mp3
@can 应该是在用户请求一个从未收录的地址时,迅雷会从本地访问欲下载的数据,下载过程中对此文件进行 hash 计算,若匹配到离线服务器的文件,则将此地址与文件关联以防止地址失效。如此当其他用户请求这个地址时迅雷服务器会返回匹配的文件

不过因为手边就一台电脑,无法测试如果文件没有被离线服务器收录时会发生什么情况( p2p 下载的话本地也是一个源,迅雷直接就从本地下载了,而把文件删掉就不能完成 p2p 下载)
不过这个方法最大的缺陷是,直接点击链接马上会发现这其实是一个不存在的地址,迅雷并不会弹出新建下载框( ff 每夜版+flashgot )
2015-09-22 08:50:10 +08:00
回复了 Pastsong 创建的主题 UNITY 不止是 Xcode , 已经确认 Unity-4.X 的感染样本 (新增 cocos2dx)
@yangmafu 最怕的就是十几 G 的东西拖回来发现校验不正确,无奈使用浏览器下载发现速度只有个位数
2015-09-22 08:42:43 +08:00
回复了 taokuntao 创建的主题 分享创造 麦步智能手表招募开发者,免费提供工程样机
差点忘了还有指南针
2015-09-22 08:41:18 +08:00
回复了 taokuntao 创建的主题 分享创造 麦步智能手表招募开发者,免费提供工程样机
手表的话,让用户使用需要高度注意力的应用会很不友好,一是因为屏幕小,二是因为大部分情况下用户使用手表的时间不会很长(通常就几秒,比如看看时间)
应用的话比较推荐下面几种:
约会提醒类
闹钟报时类
振动提醒类(比如手机来电或远离自身一定距离,手表振动)
天气预报类
地理坐标类(需求可能不大)
环境信息类(比如显示海拔湿度气压等)
健康监控类(心跳运动步数等)
暂时想到的就这些
2015-09-22 08:05:17 +08:00
回复了 Pastsong 创建的主题 UNITY 不止是 Xcode , 已经确认 Unity-4.X 的感染样本 (新增 cocos2dx)
@livelazily 这货作死了,风口浪尖还敢冒头改帖子,真当网安吃素的
测试过程:
1.修改本机 HOST ,指定网易为本人的一个 web 服务器地址
2.使用迅雷下载一个原本不存在,但我服务器上存在的一个文件
http://www.163.com/qy.mp3
3.将 HOST 修复,重新使用这个地址下载此文件

结论:
将如下地址复制到迅雷下载:
http://www.163.com/qy.mp3
成功,但此文件实际上并不存在
刚刚测试了一下,你们可以试试
“然而这招对已被迅雷离线缓存的文件无用”里的‘’缓存的文件”应该是“缓存了下载地址与文件的情况”,
猜想的投毒步骤:
1.本地解析欲投毒链接(文件可放外部服务器或本地服务器,本地做 host 解析)
2.用迅雷下载这个原本不存在的文件,使得迅雷 p2p 服务器保存这个链接的可用节点
3.把地址发布出去,迅雷从源地址访问不到此文件,会从 p2p 节点把文件 down 下来

然而这招对已被迅雷离线缓存的文件无用,而且这个投毒的链接只能手动复制到迅雷下载

至于下载时发现了两个不同的文件,有可能是这个步骤被进行了两次,也就是同一个地址投毒两次,而且一旦此文件被迅雷离线服务器收录,那就改不了了(无法从原始地址获得更新,只能使用离线服务器的文件做校验)
2015-09-21 20:26:01 +08:00
回复了 aa45942 创建的主题 信息安全 迅雷应该是此次 XCodeGhost 事件躺枪最严重的了吧
@geeglo

“不要把自己臆想的东西当成真理,其中既包括不要把未发生的当成既定事实,也同样包括不要把自己不知道未查验过的当成不存在、不可能”

你连这句话都没弄清楚

你要实质性证据?
已经被多次发现的伪造数字证书中间人攻击算不算证据?
之前 V2 有人发现被中间人攻击算不算证据?
php 的 hash 碰撞攻击算不算证据?
如果这些都不算证据,那么我倒想请问你想要的证据是什么

知不知道什么叫不要把自己不知道未查验过的当成不存在、不可能?

你能区分什么叫猜测什么叫事实?

本不想喷你,但还是忍不住,麻烦请先看懂了理解了我说的话,再来反驳我
1  2  3  4  5  6  7  8  9  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   884 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 18ms · UTC 20:38 · PVG 04:38 · LAX 12:38 · JFK 15:38
Developed with CodeLauncher
♥ Do have faith in what you're doing.