iT邦幫忙

19

【公告】邦友頭像被駭事件說明

iT邦幫忙發生邦友的頭像被駭客更換的事件,目前我們正在處理中,暫時鎖住頭像更換的功能。稍後會再重新開放。
今天早上發生了邦友們的頭像被駭,相信大家心中都覺得不太舒服。在此小財神代表iT邦幫忙跟大家說聲抱歉。

目前我們已經在處理這件事,在處理過程中,我們暫時把更改頭像的功能鎖住,稍後會再重新開放。

造成大家的困惑,iT邦幫忙在此跟大家致歉。


0
freelab
iT邦新手 1 級 ‧ 2013-09-03 10:06:47

駭客好威啊

0
0
csk
iT邦高手 1 級 ‧ 2013-09-03 10:29:29

想不到這個區塊已被對岸有心人給關注了

0
msit
iT邦高手 1 級 ‧ 2013-09-03 10:35:58

可能是對岸有人要參加鐵人賽的初體驗讚

0
u8526425
iT邦大師 1 級 ‧ 2013-09-03 10:46:09

也許可以成為下次邦聚的題材

歐~
今早網站也被駭了
純HTML無後台
代管在外的網站

0
iknowlab
iT邦研究生 4 級 ‧ 2013-09-03 11:07:45

1、已可以上傳照片,但是還是出現「領導」的分身。
2、無法上傳 PNG 格式?請問 PNG 還有其他的細項規格要求嗎?

0
海綿寶寶
iT邦超人 1 級 ‧ 2013-09-03 11:56:06

泰大泰大
我們可以趁此機會
洗心革面,重新做人了
哈哈哈哈

zuyan iT邦好手 1 級‧ 2013-09-04 09:08:53 檢舉

跳到大豹溪或淡水河都洗不清了...

0
guareian
iT邦新手 3 級 ‧ 2013-09-03 12:16:05

其實他的鐵人賽主題
就是駭客it幫? 駭客

0
Blue Jacky
iT邦大師 1 級 ‧ 2013-09-03 12:26:27

問題出在防火牆設定?主機系統?還是網站程式?
建議iT邦官方不妨將此次淪陷原因公佈(不方便的話用提示也可以)
以讓各地機房的"邦友"有所提防

0
小財神
iT邦好手 1 級 ‧ 2013-09-03 12:35:20

各位邦友大家好,目前有部份邦友的頭像已經復原了,至於還沒復原的邦友,現在也可以再重新上傳。造成大家的困擾,真的很抱歉。

之後我們會再跟大家說明這次的情況。

0
賽門
iT邦超人 1 級 ‧ 2013-09-03 13:07:00

我的頭又回來了,感謝小財神....謝謝

0
海綿寶寶
iT邦超人 1 級 ‧ 2013-09-03 13:49:15

小財神辛苦了
拍手

往好的方向想
還好這事情是現在發生
萬一是在鐵人賽期間發生
站方的壓力就更大了
飽

總裁 iT邦好手 1 級‧ 2013-09-03 17:33:46 檢舉

看來小財神不缺鐵人賽主題了...汗

0
老鷹(eagle)
iT邦高手 1 級 ‧ 2013-09-03 13:55:21

不知道為什麼會導致駭客入侵
程式網路??
疑惑

0
fillano
iT邦超人 1 級 ‧ 2013-09-03 14:18:36

通常是程式不夠嚴謹...也許問題只出在上傳頭像的功能。頭像檔案的命名是依照一個序號,我想就是會員的序號,這是隨著加入會員早晚遞增的數字。我猜搞不好cookie裡面有藏這個,以便做single sign on,但是被破解後進一步被偽造,然後上傳圖片時,如果程式沒額外檢查,就...

iknowlab iT邦研究生 4 級‧ 2013-09-03 14:42:42 檢舉

這真是太神奇了。
但,我的頭像早上還正常,印象中是在我點選自己頭像,進入「自我介紹」http://ithelp.ithome.com.tw/profile/edit\_profile 時就自動改了。
看起來,上傳照片、編輯自我介紹、查閱自我介紹都是用同一支程式,但是要利用此程式的漏洞讓圖像變更,還真願聞其詳。

fillano iT邦超人 1 級‧ 2013-09-03 15:27:47 檢舉

我的不是在edit_profile時改的喔,首頁刷新一下就發現變了。我想你碰到的狀況是恰巧。

0
echen688
iT邦研究生 1 級 ‧ 2013-09-03 14:41:51

突然間大家分不清楚誰是誰了, 其實也很 High 很歡樂, 有點像是彩色路跑..........灑花

0
花輪
iT邦大師 1 級 ‧ 2013-09-03 15:14:44

可能是要試試看到底我們的鐵人有多{鐵}吧... 冷

0
msit
iT邦高手 1 級 ‧ 2013-09-03 15:40:57

被駭的該不會都是鐵人名單吧疑惑

賽門 iT邦超人 1 級‧ 2013-09-03 15:47:30 檢舉

msit提到:
鐵人名單

No,我還沒有報名...

總裁 iT邦好手 1 級‧ 2013-09-03 15:56:55 檢舉

我從來沒報過名....毆飛

msit iT邦高手 1 級‧ 2013-09-03 16:14:33 檢舉

所以不是,繼續亂猜毆飛

0
player
iT邦大師 1 級 ‧ 2013-09-03 17:58:59

1.放圖檔的資料夾, 不可直接可以從瀏覽器瀏覽, 以免當資料夾開寫入權限, 又被人經由瀏覽器去匿名存取檔案
2.上傳圖檔, 要經過登入驗證(例如UserID), 不可將登入的資料放在Cookies, 要用Session, 才不會被用戶端看到
3.瀏覽圖檔要透過程式去抓, 理由同1
4.如果要兼顧圖檔在proxy的快取的話, 請使用URL Rewrite技術, 把抓圖檔輸出的程式隱藏成Url裡的資料夾

這樣的建議可以嗎?

player iT邦大師 1 級‧ 2013-09-03 18:02:46 檢舉

圖檔上傳時, 建議撿查一下檔頭與檔案Size
不然有些圖檔可能會利用用戶端解碼器溢位的漏洞
偷藏一些程式(後門或病毒)

freelab iT邦新手 1 級‧ 2013-09-03 18:15:09 檢舉

讚

0
門神JanusLin
iT邦超人 1 級 ‧ 2013-09-04 20:37:33

駭進來那位
直接當選"鐵人"

我要留言

立即登入留言