主页(https://www.teneriffe-yoga.com/):微信好友间发的视频泄露了?广大市民应该不用
2014 年 2 月 26 日的疑似微信视频漏洞是怎么回事?真的是微信的漏洞吗?
Evi1m0,来自知道创宇,邪红色信息安全组织创始人:
早上刚到公司看到朋友发给我的 GoogleHack 语句,然后试了一下:
site:wx.qq.com/cgi-bin/mmwebwx-bin/getstreamurl?
https://wx.qq.com/cgi-bin/mmwebwx-bin/getstreamurl?uin=915726800&videoid=1001_8e3509aaa29b4a208dbc3db336c4473b&favid=36&from=timeline&isappinstalled=0
链接如上,当然现在已经无法访问视频了,会出现登陆微信的界面。
分析链接可简单看出:
uin=?
videoid=?
favid=?
from=?
isappinstalled=?
用户 uin,视频 id,from 来源,当时我在想那么多视频都是什么视频呢?
于是我进行了长达 * 分钟的观察,发现全部都是三级地震的片子?
后来乌云平台上便出现了:微信各种视频泄露小伙伴都懂的(秒杀艳照门)漏洞
并加为精华漏洞,随后微博上开始大肆宣传此「漏洞」的危害性,转播瞬间超过 300。
各方评论不一:
@狗肉盖饭 mbqdpz: 移动 app 的链接蜘蛛怎么抓得到,915726800 这个号视频为什么这么多?很明显是自己拍完视频发到各种贴吧论坛去,然后被蜘蛛爬到的:http://t.cn/8FuHor0 用脑子想想就懂的呀,微信多少用户,那么多聊天视频,为什么搜索引擎只有那么点记录,而且都尼玛是黄色的。肯定尼玛是这些 2 货共享到论坛贴吧造成的啊!
@呆子不开口: 用户只是分享给好友或特定论坛,微信也可以保护此目录不被搜索引擎整理成全网列表,如果 robots 里 disallow 了,用户分享了又怎样,起码不会让搜索引擎收集起来在全网传播色情而违反相关政策吧!
一开始我就在思考 Google 是如何抓取到这些「敏感 URL」的,后来经过「高科技」的一番小调查发现,这些都是「用户」故意发布视频然后将视频 URL 去各大 3 级地震网站以及各贴吧发布。Google 很理所当然的把这些结果全部爬了下来。
至于说到腾讯的责任,说他们应当限制 Robots 然后禁止收录,其实这原本上就已经影响了正常,要是这些用户就想把视频发给大家然后去搜索引擎收录让更多的人来看呢?当然现在已经进行了限制。
说好的也有,说坏的也多,你没把视频宣传到外面谁会看到,如果你都已经放到各大 3 级地震网了,还怕别人来看?有人说那也不能被搜索引擎收录啊!但是我上面说到了,Google 是怎么收录到的这个网站。So,大家没有看到真正生活照 / 视频的流出,只是被流出 / 收录了部分「精彩视频」。
另外如果有知道更多背后故事的朋友,欢迎来找我私信或评论探讨有趣的事情。
发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。