B站网站后台源码被公开有什么影响
来源:互联网 2019-04-23 20:56:21昨天,一份Bipbip网站的后端代码被用户上传到了Github,程序员纷纷转发下载。
这些47M的代码包含了一些功能、服务、管理等功能,并不包含数据库及视频内容,对想要构建视频网站的人有用,对普通人基本没有用处。
但有眼尖的程序员同学,分析这些代码的时候却发现了一些奇怪的功能:
比如:抽奖不成功也发送弹幕,概率20%,造成一种很多人中奖的假象。
防垃圾信息规则中,记录了不少违法网站,
用户在B站的真实消费会员或者白拿的会员,待遇明显不同。
如果UP主大量删除视频,发送紧急提醒。
还有后台可以编辑主播人气系数;
普通人发布的弹幕可能会被顶掉,会员则不会等
以下转载自知乎
在GitHub该项目的issue区,充满了吃瓜群众的狂欢;我也听到了我身边学CS的同学和同事们的议论。下面救我的个人见解回答几个问题:
1.这是一段什么代码?
这是B站的后端工程源代码,看情况B站就是使用这个代码部署网站的。特别值得注意的是,这套代码泄漏得完整而全面,用户可以从中间窥得B站绝大部分机制的源代码。
2.泄漏这段代码有什么后果?
最明显的后果就是,B站代码的很多隐患将会被曝出来。B站的代码水平在行业中属于中游水平,因为B站不是一个工程师文化、程序员主导的技术导向公司,给程序员开的薪水也不多,导致了程序员和代码水平维持在相对不高的水平。这个问题导致B站既不太可能做好权限管理,也不太可能快速反应(联系GitHub takedown),说白了就是一直不重视。这一点其实之前各种事件也能看出来。
如果一个人他想通过B站后端代码攻击B站,以前他需要做的事情是逆向B站的代码,猜测其运作原理和漏洞位置,但是现在他可以直接阅读源码,从中找到很多0day的尚未公开的漏洞,并达到自己的目的(比如说视频灰产,找到视频方面的漏洞然后盗取未公开视频;通连接到后台数据库做一些提权,获取用户信息,这些都是有可能的)。
B站会怎么解决呢?还很可能解决不了。因为这个后端代码非常庞大,而漏洞就像是地雷,写代码的人是不知道漏洞在哪里的,唯一能够避免损失的办法就是耗时耗力地重写。
但是说实话,B站没有这个能力。这是一套完整的框架,从代码量也好时间也好,B站都没有能力、没有精力去重写。那么B站唯一的选择就是继续用这套代码,漏洞就只能发现一个解决一个。
但是只要代码存在漏洞,那就必然有极大的风险被黑产利用。接下来,B站就像是招摇过市的小孩,很多人都有办法撸一把了。
3.接下来可能会有什么瓜?
据称事情是一个被裁员的程序员的报复。
这个恶意上传代码的程序员的职业生涯已经结束了。互联网行业再也没有他的容身之地。
代码一定会得到进一步扩散,B站最可能的第一部措施就是联系GitHub,将代码takedown。
但是晚了。B站的反应太慢了。
B站将会以千疮百孔的姿态迎接无数带有恶意的人。
侠游戏发布此文仅为了传递信息,不代表侠游戏网站认同其观点或证实其描述
