欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

話(huà)說(shuō)2016春節火爆朋友圈的不是春節晚會(huì )的段子，而是pyyx。pyyx是什么？請自動(dòng)看你的輸入法聯(lián)想什么。如果說(shuō)是“便宜一點(diǎn)”，那你可是個(gè)講價(jià)狗，如果是“培養一下”那你可是有yp黨的嫌疑。

好了，我們不調皮了，pyyx其實(shí)就是“朋友印象”，一款匿名社交APP。

看到小伙伴們玩得這么高興，小編的手也癢了起來(lái)，分別用客服和個(gè)人的微信進(jìn)行了測試。

小編發(fā)現了一個(gè)問(wèn)題：膽小，不自信的人多會(huì )用匿名社交、聊天軟件來(lái)表達愛(ài)慕之心。

于是有人希望通過(guò)語(yǔ)言特點(diǎn)與經(jīng)驗判斷匿名的人是誰(shuí)。那我們能不能找到此軟件的漏洞從而得知匿名者是誰(shuí)呢？因此小編馬上開(kāi)始咨詢(xún)了這方面Newsky的技術(shù)天才song。沒(méi)想到song真的就發(fā)現了朋友印象這款APP的問(wèn)題。太多的技術(shù)細節我也不便多說(shuō)，簡(jiǎn)單來(lái)說(shuō)就是朋友印象APP的加密在應用層上，很容易就破解抓取到明文數據。

總之一句話(huà)，還真被他做到了。我能很輕松的就得到本來(lái)匿名和我聊天的人的微信ID。像下面這樣：

閑話(huà)不多說(shuō)，馬上開(kāi)始測試之。

<! link to web Tools>

你就假裝已經(jīng)拿到了工具好了，因為偉大的黑客界人物，我們的精神導師shotgun（啟明星辰VP）教導我們，一定要做好白帽子，廠(chǎng)商還沒(méi)確認就不能給工具。

Step1：打開(kāi)song 開(kāi)發(fā)的工具，界面是土了點(diǎn)，但是滿(mǎn)滿(mǎn)的技術(shù)范兒。

Step2：輸入你的賬號密碼登錄工具。中國區號86。

點(diǎn)擊藍色的按鈕“登錄”，再點(diǎn)擊“點(diǎn)這里獲取聊天記錄……”下面的文本框顯示出“X個(gè)匿名聊天”等字樣的時(shí)候說(shuō)明你登錄成功。

Step3，將第一個(gè)對話(huà)框的內容全選復制黏貼到第二個(gè)對話(huà)框中。點(diǎn)擊“處理聊天記錄”。

就會(huì )得到如下效果：

每個(gè)匿名人和你聊天的最后一句話(huà)都會(huì )以文字鏈接的形式顯示。你點(diǎn)擊進(jìn)去就可以查看這個(gè)人的微信昵稱(chēng)了哦。

這里面分為兩種情況：

A。對方?jīng)]有注冊朋友印象通過(guò)鏈接與你進(jìn)行聊天，工具抓取來(lái)的數據如框1便顯示的直接是他的微信昵稱(chēng)。

B。對方注冊了朋友印象與你聊天工具抓取來(lái)的數據如框2顯示，需要仔細查找下面的字段才能得知對方的微信昵稱(chēng)。

本漏洞已經(jīng)提交給烏云并已報廠(chǎng)商確認中，細節內容不便多說(shuō)，希望大家多多包涵。

匿名聊天服務(wù)的興起，有人說(shuō)是因為自卑，色情，不顧情面的沖動(dòng)。然而當你開(kāi)始以為可以盡情對自己邪惡的一面的放縱的時(shí)候，也觸發(fā)了一部分人不可扼制的窺私欲。因此對于這種匿名社交服務(wù)提供商而言，個(gè)人信息安全的保護更為重要。希望國內的互聯(lián)網(wǎng)公司也都能將重視安全問(wèn)題擺到前臺來(lái)。

為了更好地普及小白，這里附上啟明星辰VP shotgun的科普，請細看：

這是一個(gè)什么漏洞？

這是一個(gè)應用程序泄露用戶(hù)隱私的漏洞，用戶(hù)選擇匿名評論，肯定是不希望被評論者得知自己的身份。

我在使用這個(gè)APP的時(shí)候發(fā)現一個(gè)奇怪的現象，當我把某個(gè)實(shí)名用戶(hù)拉進(jìn)黑名單以后，對這個(gè)實(shí)名用戶(hù)相應的匿名用戶(hù)發(fā)送消息就會(huì )失敗，這當然是程序員在實(shí)現拉黑邏輯的時(shí)候出現了錯誤，但是往深里去想的話(huà)，這就意味著(zhù)服務(wù)器并沒(méi)有對用戶(hù)進(jìn)行匿名轉換，客戶(hù)端層面是可以讀取到用戶(hù)的實(shí)名信息的，我的同事用調試工具測試了一下，果然如此。

這個(gè)漏洞嚴重嗎？

一般來(lái)說(shuō)，泄露用戶(hù)隱私的漏洞屬于中等危害，并不屬于最嚴重的那種，然而，朋友印象這類(lèi)匿名社交，其主打的核心功能之一就是匿名評論和聊天，很多用戶(hù)也是因為匿名才能夠暢所欲言地吐槽，因此匿名可讀這個(gè)問(wèn)題就會(huì )嚴重很多，可以說(shuō)是破壞了這個(gè)應用的根基。

同時(shí)，我們從這個(gè)漏洞的出現，也可以看到，該應用的開(kāi)發(fā)團隊在安全架構和設計方面存在較大的缺陷，所以一定還會(huì )存在其他類(lèi)型的漏洞，我們也建議開(kāi)發(fā)團隊能夠本著(zhù)對用戶(hù)負責的態(tài)度全面地檢查一下（建議NewSky評估一下）

其他的應用也會(huì )有類(lèi)似的漏洞嗎？

是的，某國內著(zhù)名的社區應用，以及某國內著(zhù)名的問(wèn)答網(wǎng)站應用，都存在/曾經(jīng)存在類(lèi)似的漏洞，包括且不僅限于：匿名用戶(hù)信息可讀、用戶(hù)間私密短信可讀、強迫任意關(guān)注等。

例如，在幾個(gè)月前，筆者曾經(jīng)發(fā)現國內某知名問(wèn)答社區存在可以讀取匿名用戶(hù)信息的漏洞，雖然用戶(hù)從網(wǎng)站或者APP看不到匿名用戶(hù)的信息，然而只需要稍微使用一些小技巧就可以通過(guò)系統的返回判斷出匿名用戶(hù)是誰(shuí)，該漏洞的機理和今天這個(gè)漏洞是幾乎一樣的，沒(méi)有在底層對匿名信息進(jìn)行處理。問(wèn)答社區爆出匿名泄露的漏洞對用戶(hù)的影響可以說(shuō)是很大的，因為用戶(hù)在回答問(wèn)題的時(shí)候如果選擇匿名，往往是因為不想泄露個(gè)人隱私，或者擔心回答會(huì )引來(lái)爭吵、謾罵，而匿名泄露等于完全去掉了用戶(hù)的這層保護，很可能會(huì )引發(fā)很多的矛盾和沖突。

可以說(shuō)在移動(dòng)互聯(lián)網(wǎng)飛速增長(cháng)的同時(shí)，移動(dòng)互聯(lián)網(wǎng)的安全卻停滯不前，很多在電腦時(shí)代大家耳熟能詳的信息安全老坑，在移動(dòng)互聯(lián)網(wǎng)時(shí)代還得一個(gè)一個(gè)地填平。

為什么會(huì )出現類(lèi)似的漏洞？

一方面，很多移動(dòng)互聯(lián)網(wǎng)開(kāi)發(fā)團隊急于出活，缺乏對安全的重視，這體現在：

1、很多移動(dòng)應用缺少安全的設計。

由于開(kāi)發(fā)工期緊，很多移動(dòng)應用并沒(méi)有加入安全的設計，而是先完成功能，趕緊上線(xiàn)，安全問(wèn)題以后再說(shuō)。用戶(hù)認證、傳輸加密、防盜號、隱私保護、防跨站腳本、防數據庫注入、防破解逆向等等功能都完全沒(méi)有，幾乎就是不設防。

2、開(kāi)發(fā)過(guò)程中沒(méi)有重視安全功能的實(shí)現。

有些應用，雖然設計了安全功能，但是實(shí)現的時(shí)候馬虎大意，使得安全功能形同虛設，很容易被繞過(guò)。

3、上線(xiàn)前缺少安全測試。

我們知道但凡是程序就必然有BUG，安全功能也不例外，而安全功能的BUG會(huì )更加隱蔽，因為正常使用時(shí)很難暴露，發(fā)現的人往往也是奇貨可居不會(huì )主動(dòng)上報，這就更加需要對應用進(jìn)行全面的安全測試了，例如使用newskysecurity的掃描工具對朋友印象的APP進(jìn)行掃描，發(fā)現其中有十幾個(gè)安全漏洞，其中包括了客戶(hù)端使用明文對用戶(hù)密碼進(jìn)行傳輸（意味著(zhù)你在公開(kāi)的網(wǎng)絡(luò )上登錄就很可能會(huì )丟失密碼）。

另一方面，很多移動(dòng)互聯(lián)網(wǎng)開(kāi)發(fā)團隊缺少足夠的安全意識和技能，并沒(méi)有把信息安全看作是架構層面的設計，而簡(jiǎn)單的當作是普通功能。比如此次的漏洞：

1、既然是匿名，就應該在系統底層對用戶(hù)進(jìn)行匿名處理，轉換為內部ID而不是使用微信ID來(lái)進(jìn)行識別，匿名信息的屏蔽操作應該統一由一個(gè)安全模塊完成，而不是各個(gè)功能模塊自行完成。這是把信息安全當成基礎設施的原則；

2、所有匿名到實(shí)名的轉換操作應該在服務(wù)器而不是客戶(hù)端完成，這是任何時(shí)候都不要信任客戶(hù)端以及用戶(hù)輸入的原則；

3、敏感數據在網(wǎng)絡(luò )上傳播的時(shí)候應該加密；

這幾個(gè)原則在PC時(shí)代已經(jīng)廣為開(kāi)發(fā)人員熟知，然而在移動(dòng)互聯(lián)網(wǎng)開(kāi)發(fā)中，能?chē)栏褡袷氐膱F隊屈指可數，上文提到的newskysecurity團隊使用他們的自動(dòng)化工具掃描檢查了大量的移動(dòng)應用，其中60%有中等以上的安全漏洞，包括且不僅限于：各個(gè)銀行、超市、航空公司、電商、社交軟件的手機客戶(hù)端。例如美國著(zhù)名的超市Target和Costco的手機應用，都被檢查出有嚴重的安全問(wèn)題。

作為普通的用戶(hù)，應該注意些什么呢？

用戶(hù)應該要有安全防范意識：

1、網(wǎng)絡(luò )上沒(méi)有真正的匿名，由于大數據的存在，由于安全漏洞的存在，匿名很容易被泄露，所以不要仗著(zhù)匿名去做一些平時(shí)實(shí)名時(shí)不敢做的事情，這樣很容易出問(wèn)題；

2、移動(dòng)互聯(lián)網(wǎng)的安全問(wèn)題越來(lái)越嚴重，使用第三方的應用時(shí)要小心謹慎，特別是不要把自己的敏感信息（如實(shí)名信息或者銀行信息）存在應用里；

3、經(jīng)常關(guān)注信息安全公告，發(fā)生重大信息安全事件時(shí)能夠及時(shí)反應，降低損失。