iT邦幫忙發生邦友的頭像被駭客更換的事件,目前我們正在處理中,暫時鎖住頭像更換的功能。稍後會再重新開放。
今天早上發生了邦友們的頭像被駭,相信大家心中都覺得不太舒服。在此小財神代表iT邦幫忙跟大家說聲抱歉。
目前我們已經在處理這件事,在處理過程中,我們暫時把更改頭像的功能鎖住,稍後會再重新開放。
造成大家的困惑,iT邦幫忙在此跟大家致歉。
1、已可以上傳照片,但是還是出現「領導」的分身。
2、無法上傳 PNG 格式?請問 PNG 還有其他的細項規格要求嗎?
問題出在防火牆設定?主機系統?還是網站程式?
建議iT邦官方不妨將此次淪陷原因公佈(不方便的話用提示也可以)
以讓各地機房的"邦友"有所提防
各位邦友大家好,目前有部份邦友的頭像已經復原了,至於還沒復原的邦友,現在也可以再重新上傳。造成大家的困擾,真的很抱歉。
之後我們會再跟大家說明這次的情況。
小財神辛苦了
往好的方向想
還好這事情是現在發生
萬一是在鐵人賽期間發生
站方的壓力就更大了
看來小財神不缺鐵人賽主題了...
通常是程式不夠嚴謹...也許問題只出在上傳頭像的功能。頭像檔案的命名是依照一個序號,我想就是會員的序號,這是隨著加入會員早晚遞增的數字。我猜搞不好cookie裡面有藏這個,以便做single sign on,但是被破解後進一步被偽造,然後上傳圖片時,如果程式沒額外檢查,就...
這真是太神奇了。
但,我的頭像早上還正常,印象中是在我點選自己頭像,進入「自我介紹」http://ithelp.ithome.com.tw/profile/edit_profile 時就自動改了。
看起來,上傳照片、編輯自我介紹、查閱自我介紹都是用同一支程式,但是要利用此程式的漏洞讓圖像變更,還真願聞其詳。
我的不是在edit_profile時改的喔,首頁刷新一下就發現變了。我想你碰到的狀況是恰巧。
被駭的該不會都是鐵人名單吧
msit提到:
鐵人名單
,我還沒有報名...
我從來沒報過名....
所以不是,繼續亂猜
1.放圖檔的資料夾, 不可直接可以從瀏覽器瀏覽, 以免當資料夾開寫入權限, 又被人經由瀏覽器去匿名存取檔案
2.上傳圖檔, 要經過登入驗證(例如UserID), 不可將登入的資料放在Cookies, 要用Session, 才不會被用戶端看到
3.瀏覽圖檔要透過程式去抓, 理由同1
4.如果要兼顧圖檔在proxy的快取的話, 請使用URL Rewrite技術, 把抓圖檔輸出的程式隱藏成Url裡的資料夾
這樣的建議可以嗎?
圖檔上傳時, 建議撿查一下檔頭與檔案Size
不然有些圖檔可能會利用用戶端解碼器溢位的漏洞
偷藏一些程式(後門或病毒)