觀點

社交網站藏漏洞 plurk未改版前噗浪客應當心

2009 / 06 / 01
吳依恂
社交網站藏漏洞  plurk未改版前噗浪客應當心

從2008年6月才開始正式對外發表的plurk(噗浪),目前在全球已有幾百萬名使用者,相較於Twitter在北美的流行,更由於它中文化的很「在地」,目前台灣的噗浪客(plurk使用者)數甚至高居plurk排行榜的Top 3,並且在亞洲的使用也有一定的比例,不久前,中國甚至封鎖了這個正在成長中的微型部落格。

而就在不久前,plurk發生了一次小規模的攻擊事件,一名帳號為Sunwhite的噗友,重複發出了許多「1234」的訊息給其他噗友,造成眾多噗友出現許多「未讀訊息」的困擾,該帳號不久後便被禁止使用(見圖)。由於該帳號為國內某資安公司員工所有,一時之間眾人議論紛紛,認為這是該名人員攻擊測試沒有控制好的結果,而熟知內情人士在了解技術細節後已經排除是plurk worm的可能性,該公司強調這並非惡意攻擊,但沒有進一步說明。

事實上,plurk的首席技術工程師Amir Salihefendic也曾於09年4月公開徵求plurk的弱點,在大家熱心的協助下的確也修正了不少網頁弱點,研究社群網站弱點約有5年經驗的資安顧問翁浩正,也參與了plurk的修正測試,他提到今年三、四月的時候已經實作好了蠕蟲應用,並且通報站長了,而站長回應則是近期內會改版。他認為這次的測試事件應該會給一般資安人員警惕,在做測試的時候一定要通報站長,而且要注意會不會影響到一般使用者,以免大量的攻擊影響到一個網站的運作,此次的測試就是直接大量攻擊,也沒有做一些限制,而其實若站長及時發現的話,或許也可以利用一些設備或者是防火牆來進行阻擋。

翁浩正說,要是沒有事先與系統維護者溝通,即使不是惡意,也跟一般惡意攻擊沒有兩樣,他注意到該起事件發生時頁面瀏覽速度明顯變慢,顯然使用者權益受到影響。在plurk尚未進行改版之前,目前依然存在著潛在風險,假如說有惡意駭客發現蠕蟲攻擊模式,應該會影響甚大,收到訊息的使用者會自動轉發,攻擊者依然可以透過XSS弱點來攻擊然後偷取使用者的帳號、密碼。 目前國內的資安社群,也與開發團隊有所互動,正進行協助修復中。