笑死我了,该员工被开盒了,00 后,因跟用户对骂,怼不过,利用权限恶意植入 xss 攻击脚本
补个图片
 |
1
x86 2 天前
哪里想看看
|
 |
2
serialt 2 天前
成年人做孩子行为,找死
|
 |
3
shelken 2 天前 via iPhone  11
看到 b 站现在一堆低龄发言,氛围越来越差。弹幕和评论有些发言简直蠢的没边了
连自家程序员都能随便对用户进行攻击,真是管理也烂透了 b 站股价还能跌个 90%,我要有能力,我真想做空 b 站 |
 |
4
mcone 2 天前
胆子真肥,这玩意要是 big bro 想借机做做文章,估计蒙古上单的预言要成真了
|
 |
5
hafuhafu 2 天前 2
之前字节那个对同事出击,这个对用户出击,大家都有光明的未来
|
 |
6
Lykr 2 天前
没有代码审核,也没有自动化的安全检查是吧,B 站技术这么拉么
|
 |
7
gaobh 2 天前 via iPhone 5
都是草台班子
|
 |
8
WorldDominator 2 天前 via iPhone
估计是要进去了, 图个啥, 网上就算能赢这辈子也毁了
|
 |
9
BAT 2 天前 via iPhone
|
 |
10
DTCPSS 2 天前 via iPhone
Naive
|
 |
11
microka 2 天前
|
 |
12
aladd 2 天前
笑死,我成哥有事是真办啊~ 绝对不口嗨!
|
 |
13
irisdev 2 天前
费这么大劲意义何在...不如开盒或者线下真实
|
 |
14
azhangbing 2 天前 via iPhone
技术不应该被恶意使用 说到底还是人的问题
|
 |
15
oamu 2 天前
真刑,希望阿 B 狠一点,送他进去。
|
 |
16
chanChristin 2 天前 via iPhone
直接挖坟封号都比这么搞好得多,笨
|
 |
17
sunny352787 2 天前
连代码审核都没有吗?之前后台代码被传到 github 之后还这么草台?
|
 |
18
lindas 2 天前
得进去了吧
|
 |
19
BigShot404 2 天前 2
这个宣扬仇恨的平台出什么乱七八糟的事我都觉得正常
|
 |
20
Felldeadbird 2 天前
太没职业道德了,这种做法断送前程.
|
 |
21
xw340721 2 天前
@sunny352787 我看简历说 23 年毕业,现任 b 站 xx 项目负责人.如果不是自己吹写的发,真的负责人的话,阿 b 是没人才了,还是没眼光.
|
 |
22
LieEar 2 天前
程序员的耻辱
|
 |
24
ChefIsAwesome 2 天前
乐。有这权限,弄个挖矿的脚本,不得赚死了。
|
 |
25
asdfasasdf 2 天前
@Cu635 #23 这样做的意义是啥,视频本身并没有下架,难道只是判断了引用来源来决定视频是否展示?
|
|
26
sunny352787 2 天前
@xw340721 还是管理流程有问题,即便是负责人也不能这么提交代码,至少要有两个人进行审核,主程提交代码也得找俩人 approve ,流程死规定谁都别想绕过
|
 |
27
yinanc 2 天前
逆天草台班子
|
 |
28
allpass2023 2 天前
所是攻击范围和对用户影响是什么?
|
|
29
x86 2 天前
@allpass2023 #28 只能吓唬不懂的人
|
 |
30
yoyoyoyolol 2 天前
之前爆料的 b 站抽奖都是被自己内部的人抽了,每次中奖还发帖在那秀,名字也不改每次都是一个人
|
 |
31
proxytoworld 2 天前
@x86 注入了 js 代码,能操控用户账户,只是那个人没这样做而已
|
 |
33
Ocean810975 2 天前
@asdfasasdf 很久之前 b 站就有 HTTP Referer 的跳转检测,一段时间内 NGA 甚至打不开任何 b23 短链,可能是为了避免站外不好的消息扩散,放站内就不管了?
|
|
34
oamu 2 天前
@allpass2023 #28 好像是攻击和他有矛盾的特定用户,拦截页面,执行删除投稿的操作。
|
 |
35
mooyo 2 天前
正常,国内基本没 CR ,随便上 master 的。这老哥估计要进去了
|
 |
36
Cu635 2 天前
@asdfasasdf #25
为啥不下架我确实说不好,猜测是因为这事儿极其严重,而且也确实侵害的是公司利益,下架了负面影响更大,所以才没下架?不过也确实有可能因为现在是风口浪尖,下架了影响更大,准备等着热度过去了再下架的。 不过决定视频是否展示这个原因很简单:控制传播。 @WorldDominator #8 @azhangbing #14 @oamu #15 @lindas #18 @ALLROBOT #32 @mooyo #35 这就是应该“破坏计算机信息系统罪”上场的时候了。 @Lykr #6 @sunny352787 #17 @sunny352787 #26 恐怕不是技术拉,而是因为“降本增效”裁员搞得。 @mcone #4 啥预言?能给指个路么? |
 |
37
dule 2 天前
我靠,难怪我最近打开 b 站就觉得异常的卡,刷新了好多遍
|
 |
38
JohnShaw 2 天前
卧槽,可惜离职了,不然要好好吃吃瓜。b 站草台班子好不意外,在里面干了这么多年一点不吃惊这种事。😂之前还有泄露主站源代码然后人跑机场的事呢。
|
 |
39
phrack 2 天前
草台班子
|
 |
40
chesha1 2 天前 6
还有一个提到的事,这个开发还查了生产数据库,拿到了对方的实名信息,用这个实名信息把对面开盒了
一个普通的开发能随便查用户的数据,这个离谱程度不亚于引入漏洞 |
 |
42
fredhwang 2 天前
之前在 tiktok 上也遇到过,一个人莫名其妙地让我别用 tiktok,骂了它一顿,自那以后我的视频就没流量了.估计这个人是 tiktok 的.
|
 |
43
Remember 2 天前 1
破坏计算机信息系统 这个刑事罪该用的时候,是不可能用的。
|
|
44
chesha1 2 天前
@LiuJiang #41 真的,你看 BV1PvcqeBEqn ,里面私信都把实名信息爆出来了,明显是去数据库查了,b 站这种量级的公司,开发能随便去生产查敏感数据,太离谱了
|
|
46
chesha1 2 天前 1
@LiuJiang #45 bv 号,完整链接是: https://www.bilibili.com/video/BV1PvcqeBEqn ,你想看别直接点链接跳转过去,现在这个视频在 b 站的监控中,搜索功能不到,同时会检测 refer ,直接从 V2EX 过去会显示视频不存在,复制链接到浏览器打开能看
|
 |
47
hazardous 2 天前
开发人员可以随意查询数据库,是独此一家呢,还是各大网站普遍的缩影呢?
|
 |
48
leegradyllljjjj 2 天前 1
看了视频太难绷了,舞了半天 最后来了一句你给我把网页端打开 相当于验证码发我一下
|
 |
49
Jakarta 2 天前 via Android
b 站视频现在是可以高级限流的,搜不到、不会被推荐,但直接输网址可以访问。
|
Select Language