Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[疑难] 专访插件漏洞发现者高旭东!请大家高度关注!

[复制链接]
wxz52155 发表于 2009-8-14 10:50:26 | 显示全部楼层 |阅读模式
UCHome插件
语言编码:  
插件名称:
插件作者:
适用版本: UCHome 2.0
2009年8月10日晚开源插件网发表题为‘Linktalk插件疑似惊现漏洞 uchome创始人身份被轻易冒用’的新闻后,顷刻间在广大站长和网友间炸开了锅。该漏洞的发现使得正在使用uchome程序搭建的SNS网站的站长陷入了是否为了安全起见暂时停止使用或者关闭安装了的Linktalk即时聊天程序这样一个进退两难的境地,也使原本打算安装该程序的站长则更多选择旁观事情的进展,不敢冒然安装该插件。到了第二天,作为Linktalk插件漏洞发现者也在阅读完开源插件网对这件事情的报道后浮出水面,受邀访谈讲述详细经过。



专访Linktalk插件漏洞发现者高旭东

序:今天是2009年8月13日星期四,开源插件网推出的是一期特别的访谈节目—《专访Linktalk插件漏洞发现者》。欲知前事的朋友可登陆网站查阅标题为《Linktalk插件疑似惊现漏洞 uchome创始人身份被轻易冒用》的文章,这里就不再累赘讲述。这件事情发生后,广大站长和网友们在关注Linktalk插件安全性问题的同时,也对事件背后这个漏洞的发现者感起冒来:他到底是谁?他是什么时候发现这个漏洞的?他是怎么发现这个漏洞的?这些藏在网友们心里的疑云今天就将被揭开。

开源插件网:各位晚上好,开源插件网访谈又如约与大家见面了。今晚我们邀请到的嘉宾非常特别,他既不是一名站长也不是一名插件作者,但是他却赚足了广大站长和网友们的眼球—Linktalk插件漏洞发现者。我们可以叫他:往事随风,这是他的网名。现在他应邀做客QQ访谈现场,跟我们详细说明经过。我们的访谈即将开始,我们温馨提醒您保持安静,谢谢!同时请大家不要急于提问,访谈过程中我们有专门的时间留给大家提问。

开源插件网:往事随风,你好!非常感谢你爽快的应邀来到QQ群访谈现场。我们知道你有一个特殊的身份是Linktalk插件漏洞发现者,我相信网友们也很感兴趣你的其他身份。现在请你跟大家简单地介绍一下自己。

往事随风:恩,我的真实名字叫高旭东,来自石家庄的一个小山村,现在还在石家庄经济学院上大学,性格稍显内向稳重,从小爱钻研爱学习,不想上大学之后迷上了网络尤其对网站情有独钟,在过去两年多时间里一直在这个领域里打混,这个暑假我会发布自己的网站新系列,算是我在这个领域里的新尝试吧,由于我技术不精所以我认为目前我只能可以看做一个很痴心的爱好者,最多算是一个小小的草根,我以后的路还有很长,大家可以到心憩空间(http://hi.baidu.com/wxz52155)关注我的一切,我已经开了linktalk专门的栏目,有我对这件事情的所有想法,欢迎大家,谢谢!

开源插件网:是的,我们已经迫不及待地想知道你对这件事情的想法。首先我们想问的是:开源插件网在8月10日晚上11点16分接到宁波人社区(yood.cn)站长夏天的爆料后发表了一篇标题为《Linktalk插件疑似惊现漏洞 uchome创始人身份被轻易冒用》的文章,你当时是怎么看到这篇文章的,你的第一个反应是什么?

往事随风:好的,我最先是在discuz论坛里看到这个名字的帖子,链接到贵站后看到报道的,说实话看了之后很吃惊感觉不是太好,我没想到夏天会在网上发布这个消息,我原来是想让他把linktalk暂停,过几天解决了再使用,然后再联系linktalk作者解决的,但是信息一这样爆出我就别无选择只能想办法把事情弄大让更多的人知道,这样才能让大家暂停使用,我是担心像我这样低水平的人都能发现,有好多的高手只要他知道有这样的漏洞肯定会在短时间内发现的,所以我觉得当务之急就是先发布我的说明文章验证新闻的正确性给大家提醒先保证大家的安全,然后想办法解决!就是这样!

开源插件网:恩,感受得出来你的良苦用心。但目前来说还有很多网友不知道当时的具体情况,请你跟大家详细说说当晚你在该网站中做了什么具体的操作?

往事随风:好吧,具体时间我记不清楚了,我是在uchome论坛查找信息时看到了yood.cn发布的一个uchome2.0的模板,感兴趣所以就到他的网站去看效果并注册了会员,当看到其网站也装有linktalk时我想到我刚刚发现的漏洞证据不是很充分,所以就想试试是不是每个网站都行,我就按自己的方法连上了他的网站,我以admin身份进入linktalk,linktalk上面显示的是站长的十几个好友,还有他加入的数十个群组,我在其中一个群组里发言问有没有人在,结果没有人回复,就退出了,然后我打开他的好友列表选择第一个好友问他在网站里是什么职务等等结果对方就问我:你不是**吗?我就想肯定他们认识,所以我只能说是逗他玩呢,然后就离开了,怎么说呢,有点被抓的感觉,虽然没干啥也觉得不太好,之后我为了得到yood.cn的模版在论坛里反复的回帖,大概十几分钟后我又打开了我的网站(因为当时只是关掉网页并没有把链接断掉)里面还是那位站长的linktalk,我看到了夏天发给我的消息,就是大家在图片中看到的对话,我跟他说这是linktalk本身的漏洞,我没有真的侵入系统只是冒用让他别担心我没有啥恶意,劝他暂时卸载,然后我也就离开了,事情就是这样!yood.cn站长现在也在现场他应该还记得!

开源插件网:是的,当时他在我们这个QQ访谈群里说这个事情的时候,我们都很震惊。同时我们很关心的还有一个关键性的问题:你是在什么时候发现这个漏洞的?是怎么发现的?

往事随风: 哦,大概是在10号下午我在discuz论坛里看到有关一个linktalk的投票,在那里我看到大部分的人选择的是linktalk,以前我也用过这个插件,只是当时没有支持asp.net的空间,所以也只是下载没有试过,它的特点很明显,功能强悍,免费,还全部本地化,所以我当时就下载了,回来在调试的时候出现一些问题,在解决的时候发现了这个特大的漏洞,具体的漏洞说明我会在几天后公布,现在就不再具体说了!谢谢!

开源插件网:呵呵,原来这个漏洞是这么被你发现的。对这个漏洞,站长们应该很清楚它的危害性,但是有些网友可能还不清楚,请你跟大家说说linktalk存在这个漏洞具体有什么危害?

往事随风:这个漏洞怎么说呢,相对于真正能导致入侵系统的漏洞危害相比要小得多,但是如果别有用心的人就不一样了,就像我在说明中说的一样,利用漏洞,可以冒充目标网站里的所有会员包括管理员,冒充后可以看到他的好友列表,群组信息,并且可以直接进入聊天,就和他本人在网站里使用完全一样,大家试想一下,一个有1000人在线的群组里,如果管理员在里面发表一些言论是不是很有分量,如果发布一些特殊的有可能就会给网站带来灭顶之灾,再比如一个网站有很多的分站长都在一个群组里或和站长是好友,那么利用语言给对方指派对网站修改的任务,那么不就相当于是真正的入侵了吗,所以说这个漏洞对于没有啥恶意的人来说最多就是玩玩,可是要是碰见‘专才’,那目标网站就会面临绝境!这个漏洞绝对不容小视,更何况现在uchome的安装量特大,其中安装linktalk的网站绝不在少数!假如大面积的出现这种情况那后果就真的不可想象!

开源插件网:这个危害听起来就让人毛骨悚然的。那当你发现竟然存在漏洞时,你的心情是怎么样的?

往事随风:我在发现的时候自然也是很震惊,本来我是想用它来充实我的网站,在不久之后我要发布的网站里有三个网站就会涉及到uchome,我当然会选择它作为网站不可缺少的功能,并且开学后我会做一个我们学校的校内网,整个学校的同学都会使用,那么这个发现对于我来讲无疑也是晴天霹雳,为做网站我把所有的精力都投入了,哪里有钱去买付费的插件!一时间我陷入困惑,但同时我也庆幸是我发现了这个漏洞,如果我的网站因为这个漏洞遭受损失后才知道真相,不就后悔莫及了吗!谢谢!

开源插件网:恩,你对这个漏洞的危害性有这么清楚的认识,那你对广大站长们有什么建议?对Linktalk有什么建议?

往事随风:相信大家使用uchome的用户和我一样都想在这个sns崛起的时代,能通过我们在某一个垂直的领域里争取自己的一席之地,为招揽会员留住会员而绞尽脑汁,用上linktalk我们自然就觉得是为网站注入了新的活力,也对这项新功能抱有很高的期望,得知这个消息后我想大家肯定会为难,我们的网站会员数量不一,多者数十万少者数百,要突然停止使用对于网站来说是损失,也不好和会员交代,但是我想说为了我们的网站只是暂停使用,并不是说停止使用,大家应该相信这么多人肯定会快速解决的!同时也希望大家不要放弃linktalk,给点时间相信新的linktalk一定会破土而出!对于linktalk我很佩服它的作者,据说作者只是一个人的团队,而且免费放出插件,我想说你给sns时代带来了希望给开源带来了活力,你的产品是对uch用户最大的礼物,这几天有对你的影响我深表歉意,我也没有办法,我发现了情况不能置之不理,希望作者可以理解,我相信在大家的共同努力下,新版的linktalk一定会成功,希望在新版的linktalk中首先解决这个漏洞,最好能全部做成PHP的,采用mysql数据库管理,那么linktalk就会更安全更强大独领风骚,取得成功!谢谢!

开源插件网:在这件事情发生后,你的心情应该说是百感交集的。借助我们这个平台,对于这件事情,还有什么是你想跟大家说明的?

往事随风:好的,这件事情近几天在uchome领域里的影响还是比较大的。或许有很多人受到影响,有的人说我别有用心,有的人说我是linktalk的竞争对手,还有人说我在炒作,对于我个人来讲并不太在意,每件事情发生了总会有不同的观点,我和大家都是个普普通通的站长,和linktalk无冤无仇,我只是在做我认为应该做的,就像开源插件网站长浪遏飞舟说的一样:‘你在大街上看到有个路灯快要掉下来了,你是不是就装瞎子!???不管了!还是应该尽自己的良心提醒大家呢? ’我想互联网每天都会有各种各样的事情发生每个漏洞过后就会有更完美的作品出来,进步总会有付出,真的希望大家理解,同时希望得到大家的支持,把事情告诉自己身边的uchome站长,把危险降到最低,我们共同努力维护安全,共同期待linktalk的再次崛起吧!谢谢!

开源插件网:撇开这件事来说,你对插件感兴趣吗?还有就是对目前讨论热烈的SNS有什么看法?

往事随风:谢谢,插件可以说是uchome开源的最大结晶,越来越多而且越来越优秀的uch插件诞生使uchome的生命力更加的增强,我个人很喜欢上网寻找各种插件,当然不是官方的插件的安全度可能就会稍微不足,但是我们可以经过一段时间的检验和测试,当插件有漏洞的时候就必定会催生出更高的版本,除非插件作者就此放弃,我想所有的作者都会努力去挽回创造更高的辉煌,所以大部分的插件我还是比较放心的,也比较喜欢。sns的崛起是近几年来最热门的话题,给我们的网络生活带来了乐趣,同时也给我们广大站长带来了机遇,在越来越多的小领域里出现了优秀的sns站点,在网络大海中有了自己的一席之地,sns的神话还会继续,而且现在sns站点的花样也是层出不穷,随着uchome的推出和不断升级sns市场越见明亮,所以我想只要我们坚持我们自己的领地再坚持就一定会成功!谢谢!

开源插件网:恩,也谢谢你刚才精彩的回答。现在在我们谈现场就有yood.cn的站长,他就是这件事件的当事人,当时还跟你对过话。我们先让他讲讲当时的情景和感受?

yood.cn:我当时发现他冒用我的身份在我的网站上活动时,我首先感到的是震惊。我心里想,这次怕是遇到黑客了。我唯一担心的就是他会在我的站里搞破坏,同时也很好奇他到底是怎么进来的。我有点紧张,所以赶快把相关的图片抓下来然后到这个群里来和站长朋友们交流下,过程大概就是这样。

开源插件网:你有什么话想跟往事随风说的?

yood.cn:呵呵,我感谢你没有在我的站里做任何的破坏行为,而且善意提醒我暂时停止使用linktalk。感觉你是个很有正义感的人,发现了这样的漏洞就希望能够提醒更多的站长注意安全,这种精神可嘉啊。

开源插件网:看来作为你个人也是支持他把这个漏洞公布出来的。那我们的访谈暂时就到这里。接下来的时间是群友们的提问,请嘉宾做好准备接招吧。大家可以尽情开炮了!谢谢!

广州社区mygz.n:请问嘉宾,webim真的对sns有帮助吗?我怎么感觉有了webIM后,社区的会员活动明显减少了呢?

往事随风:当然有帮助了,在网站里和好友聊天可以拉近彼此的距离啊!这是距离变短了,拉近了。

广州社区mygz.n:但是不活动了,聊qq去了。

往事随风:在网站里这样聊天不就和qq一样吗?QQ你能轻易建群吗?更何况是上百上千的群了。

广州社区mygz.n:但是我站实际的效果就是网站pv数急剧下降。

往事随风:但是,webim绝对可以增加网站用户的粘滞性。

鬼淘陶♀::我问一下 往事随风 先生: 你对PHP的了解程度有多少?你发现这个漏洞是巧合还是认真研究过talk?

往事随风:说实话我对PHP不是很了解,发现这个漏洞也算是巧合。
···········

开源插件网:谢谢大家的踊跃提问。但是时间有限,我们要回归到访谈中来,所以请大家耐心等待一会,谢谢!

开源插件网:从刚才的提问中,大家都对你很感兴趣啊!我们来替网友们问问:接下来你会忙些什么?

往事随风:接下来我想继续我的网站系列,首先要在17日也就是下周一正式发布我的新站 网赚之家(http://www.wangzhuan51.com)然后我就会相继推出我的其他网站,比如第一方言、专辑51、我爱石家庄,还有我的个人博客也将开通(http://www.gaoxudong.com.cn)开学之后大概就会全力维护我们经济学院的校内网了,就算是为本校做点贡献吧,网站发布后还有好多的路要走,这还得需要大家的鼎力支持和关注了,我还要尽力学习有关网站的技术,一直以来我只会修修剪剪,编程方面就是菜鸟一个了,呵呵!当然了,最主要的还是首先整理出来漏洞的细节,我会在16日就是本周日晚间在我的空间和17cha8.cn(开源插件网)同时公布漏洞,望大家这几天内尽快做好准备!谢谢!

开源插件网:好的,希望更多的站长能提高警惕,避免危害的蔓延。最后非常感谢你能来做客我们的访谈现场,也希望你能常来。

往事随风:也很感谢开源插件网的邀请,我发现开源插件网虽然是新开的网站,但是你们的精神让我佩服,我相信有你们这种努力17cha8.cn一定能越走越远,越办越好,感谢大家的等候和支持,我会将最新的情况了想法写在我的空间或者以投稿的形式传到开源插件网请大家留意,再次感谢大家,感谢开源插件网!谢谢!

开源插件网:感谢你的支持!开源插件网祝福你和你即将推出的网站的发展能更上一层楼,同时我们也会在第一时间跟进linktalk漏洞事件的最新进展。开源插件网会在短时间内发表本次访谈的文稿,敬请留意。好的,我们今天的访谈就到这里,非常感谢大家的耐心支持。同时开源插件网非常欢迎有更多的站长朋友和插件作者们加入我们的互动空间来,让更多的人认识你,认识你的作品。有兴趣参与的朋友可加QQ群:70947141 或登录开源插件网,下一个邀请的嘉宾就会是你。更多精彩故事尽在www.17cha8.cn,谢谢大家,我们下期不见不散!

本文章首发开源插件网:http://www.17cha8.cn/bencandy.php?fid-85-id-201-page-1.htm


转载请注明出处,保留追究法律权利。

更多有关linktalk漏洞信息请访问发现者高旭东的空间http://hi.baidu.com/wxz52155
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-17 07:17 , Processed in 0.022212 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表