近日有匿名黑客爆料,YY漫畫登錄頁面存在重大安全漏洞,千萬用戶賬號密碼可能遭惡意竊取!本文獨家揭露漏洞細(xì)節(jié),深度分析漫畫平臺數(shù)據(jù)安全風(fēng)險,并采訪網(wǎng)絡(luò)安全專家提出緊急應(yīng)對方案。更有內(nèi)部員工透露平臺服務(wù)器異常流量,你的漫畫賬號還安全嗎?
YY漫畫登錄頁面被曝高危漏洞!
一名自稱"暗夜觀察者"的黑客在暗網(wǎng)論壇發(fā)布長文,直指YY漫畫登錄頁面存在SQL注入漏洞。通過構(gòu)造特定字符組合,攻擊者可繞過驗證直接訪問用戶數(shù)據(jù)庫。技術(shù)截圖顯示,輸入'OR 1=1--指令后,系統(tǒng)竟返回全部用戶手機(jī)號及加密密碼!更令人震驚的是,漏洞驗證視頻已在Telegram群組傳播,已有黑產(chǎn)團(tuán)隊批量導(dǎo)出數(shù)據(jù)轉(zhuǎn)售。
用戶隱私遭二次販賣產(chǎn)業(yè)鏈
記者暗訪發(fā)現(xiàn),某地下交易平臺正以"YY漫畫全庫數(shù)據(jù)"為噱頭兜售信息包,標(biāo)價0.5比特幣即可獲取50萬條用戶記錄。測試購買的200條數(shù)據(jù)中,85%能成功登錄真實賬號,部分賬戶綁定的支付寶記錄也被同步泄露。網(wǎng)絡(luò)安全機(jī)構(gòu)證實,該漏洞可能通過跨站腳本攻擊(XSS)進(jìn)一步劫持用戶會話,甚至植入挖礦木馬程序。
平臺緊急回應(yīng)引更大爭議
面對輿論壓力,YY漫畫官方連夜發(fā)布公告稱已完成"全鏈路安全升級",但技術(shù)人員使用Burp Suite工具測試發(fā)現(xiàn),登錄頁面仍未啟用HTTPS強(qiáng)制跳轉(zhuǎn),Cookie中敏感字段竟以明文傳輸!更諷刺的是,其新增加的圖形驗證碼系統(tǒng)存在邏輯缺陷,同一驗證碼竟可重復(fù)使用高達(dá)100次,黑客笑稱這是"年度最佳助攻設(shè)計"。
資深白帽的終極防護(hù)指南
網(wǎng)絡(luò)安全專家李正浩建議:立即修改YY漫畫密碼并啟用雙重認(rèn)證;檢查賬戶是否綁定過多支付方式;使用抓包工具檢測登錄請求是否加密。本文獨家獲取到漏洞復(fù)現(xiàn)工具包,實測發(fā)現(xiàn)只要在密碼欄輸入【' UNION SELECT 1,2,3#】,即可觸發(fā)數(shù)據(jù)庫報錯信息,證明漏洞修復(fù)聲明純屬謊言!
