B 站首页这个自称是黒客黑了别人网站的视频,大家怎么看

2020-10-25 06:49:51 +08:00
 black11black

如题,还是刷 B 站刷出乐子系列,原视频标题:

《 QQ 被盗后发布赌博广告,我一气之下黑了他们网站》

https://www.bilibili.com/video/BV1mK4y177Do

=============================================

我不知道 v2 有没有白帽子,怎么看这个视频。就我个人的开发人员范畴的网络安全知识来说,看完只能用老人地铁手机.jpg 来形容。他说的我每个词我都认识,连起来我就听不懂了。我不是指他说的过于高深听不懂,而是我感觉这个视频挺扯淡的。当然可能是我太菜了吧,欢迎各位指正

至于为什么点开这个视频,因为这个 up 已经连续好几天上 B 站的涨粉排行榜前几名了,我在 DD 的时候扫到的。所以新财富密码可能性微存?

=============================================

另外题外话,像他这种公开宣称黑了某某网站的,法律上真的没问题吗?我认识的“白帽子”谈网安相关话题的时候可都是很小心的

6709 次点击
所在节点    问与答
58 条回复
kokutou
2020-10-25 07:01:00 +08:00
太年轻
binux
2020-10-25 07:18:32 +08:00
你说对了,内容就是骗小朋友的。
1. 进程内部起个线程,又不是注入,不会分析不到异常。
2. 都 keylog 了,就为拿你个 QQ cookie 发个广告?这么良心的吗?
3. 一个直接 IP 访问的“域名”还要另一台主机做后台。闲的吗?

不过做黑产的真的能被假 flash 网站钓鱼?他说是什么就是什么吧
shiji
2020-10-25 07:22:58 +08:00
讲得像是我在小学时绘声绘色地跟同学形容啪啪啪的样子。像是我真啪了似的。
black11black
2020-10-25 07:52:18 +08:00
@binux
我第一反应是 XSS 哪是像他说的这个东西,第二个是为什么会有人在服务器上打开网页浏览器,这才刚说两句,后面的更驴唇不对马嘴了
delectate
2020-10-25 07:56:56 +08:00
外行看热闹,内行看门道。一笑了之就好,千万别较真。
可惜 99.98%都是外行,别说 b 站,就是 V2EX 都有人信。
coderluan
2020-10-25 08:03:25 +08:00
我感觉这应该不是个人,而是机构的号,明显是在想复制一个网络安全领域的“巫师财经”,而且学的挺好,涨粉快是非常正常的,是套路但算不上财富密码,毕竟模仿也需要实力, 这个实力肯定不是技术,而是视频的选题文案视频制作能力,做好了对外行人的吸引立真的非常大的,猎奇地摊文学阴谋论,谁不爱看呢。

PS:当年知乎各种教你把卖片网站的收款码改成自己的文章,只要最后说自己报警就没啥事,毕竟人家只是意淫。
t6attack
2020-10-25 08:05:51 +08:00
关键步骤就这一步,其他都是水:
在注册页面填入 xss 利用代码,代码逻辑是:alert ( flash 插件过期)->点击确定后下载 flash.exe (木马程序)。
登录后台的管理人员完整执行了这个过程(点击了确定,下载并安装了这个木马程序)。并且此人电脑没安装杀毒软件,或者这个木马做了专业免杀。
phpfpm
2020-10-25 08:12:32 +08:00
httponly 是拿不到 不是拿到了不能用

通篇鬼扯。。。。
ladypxy
2020-10-25 08:12:49 +08:00
很假很假。。。看里面毫无干货就知道了,基本上可以说是虚构的。。
exploretheworld
2020-10-25 08:34:30 +08:00
正经人谁会说自己是黑客 doge
exploretheworld
2020-10-25 08:37:36 +08:00
中国的黑客都在监狱里,说自己是黑客的不是骗子就是傻子 Doge
EKkoGG
2020-10-25 08:49:38 +08:00
一眼假
murmur
2020-10-25 09:04:04 +08:00
你以为的黑客:发现重大网站漏洞,登入服务器帮助修补,清理痕迹,深藏功与名
社交网络的黑客:关注公众号黑客 xx
maskerTUI
2020-10-25 09:17:19 +08:00
xss+木马确实可以搞下一个网站后台管理员的电脑,但是这表达方式我觉得这故事是假的。
另外对警方和反诈骗工作的期望也不要太高了,大多数时候一言难尽。
avenger
2020-10-25 09:18:16 +08:00
有一说一 不看内容 视频做的挺好的
iv2s
2020-10-25 09:30:09 +08:00
这精的很,敢发出来的,肯定不违法。
santheniko
2020-10-25 09:39:53 +08:00
@binux
1. 他说的那个授权器有问题吧,类似于带有木马的注册机?
2. 拿 qq 发涉黑产的广告其实很正常,但是只发广告确实不正常。qq 时不常的就有人被盗号,然后群发一些诈骗广告。之前有个渗透老师傅被黑产搞的那个文章不知道大家有没有读过。实际现在黑产体系还是很完整,能拿到你的 qq 密码,就能干很多事情。支付宝,微信,各种依靠邮箱登录或者邮箱作为安全邮箱的网站的等等各类软件都存在被吃掉的可能。

我个人感觉这个视频的内容是硬攒出来的“网安”科普向视频,如果把案例搞的太复杂 B 站用户听不懂也没兴趣。把攻击过程尽量描述的简单化,抹去很多关键细节让故事性更强。非从业者(甚至是邻居领域的从业者)基本不会对内容有什么怀疑。

真正老师傅的视频 /文章(前好几年见过,但最近基本看不到了),基本和 writeup 区别不大。如果给出一些对面实际的信息,你甚至能对着他的文章复现。
Oceanhime
2020-10-25 09:43:54 +08:00
你看一下视频评论区里那几个蓝色认证官方号,就知道目的是什么了
Kilerd
2020-10-25 10:06:31 +08:00
A IP 做前端,B IP 做 admin dashboard,那么问题来了,他是怎么找得到 B 这个 IP 的。
revalue
2020-10-25 10:31:43 +08:00
有个叫 魔宙 的公众号,看过吗?声称“半虚构”,似真似假,这样连 行内人、行外人、审查 都能糊弄过去

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/718302

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX