「hackwiz」:兄弟们,是时候给这些渣滓上上强度了!
众人也没废话,三下五除二,一顿猛烈操作,很快就发现了漏洞的具体所在——是一个比较典型的权限提升漏洞。
简单来说,正常情况下,普通用户本该只能在自己的页面上,查看或者修改自己的部分基本信息。
但攻击者却能通过这个漏洞绕过限制,把自己的权限硬生生提升到管理员级别,从而获取到修改「归属星域」这种重要信息的核心权限。
不过,稍微特殊的点在于,这个导致权限提升的漏洞ApI,实际上应该已经废弃了,但是不知道为什么,却一直没有下线。
当然,尽管没有下线,可它的隐蔽性还挺高的,按理说,外部人员轻易很难察觉到线上存在着这么个ApI。
「以天为棋」:啧,感觉SGp的运维,是不是也该好好查查了?!
「1爱0」:Emmm……我暂时保留意见吧,毕竟,也有可能不是故意的,搞不好是以前做完线上测试以后,一直没来得及撤呢?
「Eclipse曜」:没事,我已经联系SGp的人了,后面他们会针对全平台进行一次大规模的系统排查。
「Language1scode」:大神果然是大神!膜拜!!
「1爱0」:+1,爱您!
「cooooode」:+
「维克托」:确实,这种时候,还是得有话语权的人出面才好使。
「hackwiz」:嘁,感觉对面这帮家伙,就是在雨天走钢丝啊!!
「hackwiz」:公民Id具有唯一识别码,这是无论如何也更改不了的凭证,如果平台认真校验起来,他们的这点小伎俩简直分分钟露馅诶!
「代码梦想家」:嗐!人家赌的就是没人较真嘛!!毕竟,这玩意儿说的容易,查起来还是挺麻烦的,谁有那闲工夫?
「cooooode」:嘶~~咱们现在直接把这后门给他们堵了,那......那帮已经改了星域的小粉丝们,以后岂不是就只能变成第三星域的人了?
「1爱0」:噗~~~c妹,你还同情上了啊?吃个亏就当买教训吧!以后就知道什么事该做、什么事不该做了!
「cooooode」:倒也不是,就突然想起来这么个问题。
「维克托」:嗯~~哈哈哈~~可能在SGp上会成为一段时间的黑户吧~~~
「维克托」:不过应该还好~~可以通过正规渠道进行书面申请和申诉~~就是估计得受点罪了~~
「hackwiz」:跑远了啊~~~接下来要干嘛啊~~~
「crimsoncoder」:哎,头疼!接下来就是洗数据呗!得把那些伪造Id全部剔除了才行啊!
一听到「洗数据」三个字,群里再次安静了下来。
那可是一整个星域的投票数据诶!!这尼玛得洗到猴年马月啊!!
虽然说,他们倒是可以按照「近期有过账号更改记录」、「赛恩斯地区的Ip」、「某几个高频投票时间段的活跃度」等各种维度来进行筛选——
可是,这种操作,误差其实还挺大的,内里的尺度一个拿捏不好,就很容易误伤。
以「账号更改记录」这种标准为例,到底确定要多久时期内的账号更改记录才好呢?
星域内,每天都有大量的户口在迁入迁出,这种正常的变动数据可不是个小数目。
尤其是迁入的数据,以正规途径迁入第三星域的用户,哪怕仅仅只做了一天的第三星域公民,那他的投票也依然是合法、合规、有效的!
这些有效数据,是不能、也不应该被随便剔除,否则,整个SGp的公信力就会大大受损!
「crimsoncoder」:靠!!@朱萝莉,萝莉姐在不在?!!呼叫萝莉姐!!!
「隔壁老王」:对啊!!这种时候就应该让@朱萝莉 这丫头出马了!!这姑娘的数据建模能力堪称一绝,老夫很是佩服!!
「hackwiz」:对嚯!对嚯!!@朱萝莉,呼叫@朱萝莉!!
「以天为棋」:呵!你们是不是忘了,老朱人还在赛场呢!!今天可是超级联赛的8强排位赛啊各位!!
「代码梦想家」:是啊,没看群里今天都安静了不少么!比赛的比赛,观赛的观赛~~
「crimsoncoder」:哦!卧槽!!忘了!!麻蛋!!好烦哦!!!
「cooooode」:@朱萝莉,萝莉不在第一天,想她……
「Eclipse曜」:无碍,等我忙完手上这点东西,应该还有更优解。
「隔壁老王」:嗯呐~~~听大神的~~~
「crimsoncoder」:+1~~~~
这时,又有