人人网站内信漏洞导致大量用户隐私泄露

昨天有个朋友给我看了一篇文章, 是关于一段出现在人人站内信中的JS.

当用户点开带有这段<script>的站内信时, 其中的代码将会自动运行, 并采集用户的好友名片信息, 发送到指定的服务器. 并且再给好友发送内容相同的站内信.

不得不说这是一个非常低级的漏洞, 人人的后台居然没有对站内信中的特定标签 (比如这里是script) 进行处理. 很不解的是, 人人的日志上都出现了大量关于此 “病毒” 的信息, 人人却依然没有修复此漏洞, 效率如此低下? 当时的 msg.renren.com 已经出现了不能访问的情况, 一开始我还以为是人人暂时关掉了相关服务并进行漏洞修复, 后来发现问题依旧, 于是之前的不能访问只能说明收到攻击的数量之大, 导致人人站内信的服务器超出负荷. 后来人人是有了一些举动, 但貌似并非是技术层面的, 只是将相关域名加成了关键字. 人人的技术人员哪儿去了?

那抛开这些不说, 谈谈这次攻击的技术方式.

因为一些安全问题, 浏览器对很多种方式的跨域访问进行了限制. 比如不同域的页面之间不能互相访问内容, XMLHttpRequest 跨域会有警告甚至根本不能跨域, 包括 HTML5 里面的 canvas 也做了类似限制. 不过还是有例外, 比如<script></script>, <img />就可以. script 可以获取跨域的信息, 而 img 可以通过 GET 方式发送跨域信息.

这也是这次攻击所利用到的主要信息交换方式.

所以人人的技术水平还有待提高啊, 包括在一些浏览器 (现代浏览器) 里显示也有小问题.