安全漫谈(38)
黑客·安全
百度贴吧存隐患,验证码形同虚设
百度贴吧作为全国最大的社区,有着惊人的人气和发帖量。然而最近网上流传着一则关于百度贴吧存在安全隐患的消息,消息的主角是关于一款名叫“百度贴吧杀手”的软件,消息内容则称该软件利用贴吧的发帖验证机制不全,可以在百度贴吧肆意发送病毒、木马等信息,甚至不需要人为控制,便可以完成一系列发帖动作。
漏洞:百度贴吧有着惊人的人气,但其安全措施却不尽如人意。问题出在用户发言时的验证码机制,贴吧的验证码算法十分简单,很容易被破解,而一旦被破解,那么在贴吧发帖的最后一道安全防线也被突破了。攻击者可以毫无忌讳地发帖,从而使发帖效率大幅度地提升,如果帖子中存在不安全的因素,那么对普通用户的危害也将越大。
点评:不知不觉中,验证码机制已经遍布了网络的每一个角落,由于验证码机制的随机性,使很多自动发布广告的软件无计可施,更使得像“溯雪”这一类暴力破解用户密码的软件毫无用武之地。因此验证码机制深受网站站长们的喜爱。但很难想象出百度的验证码机制竟然如此脆弱,可以被轻易地破解,这很不符合百度在互联网中的身份。
对于“百度贴吧杀手”这款软件,从实质上说,它并不是一款软件,而是利用“模拟精灵”软件生成的一系列鼠标操作,这对于经常使用“按键精灵”软件进行重复操作的用户应该相当熟悉,但和其他生成的脚本不同的是它在其中加入了对贴吧发帖验证码机制的破解。利用它便可以进行自动的连续发帖,同时攻击者可以修改其中预设的脚本内容,替换为带有病毒、木马等内容的恶意信息,从而使其成为攻击者的帮凶。
“百度贴吧杀手”的最大作用是突破百度的发帖验证机制,进行连续的发帖。而其作用也仅限于此,并不像网上流传所说的“可以突破百度贴吧的代码过滤,迅速传播病毒木马”,因此我们可以把它看做是一款广告群发工具,而不是黑客工具。但是如果攻击者在内容中插入带有攻击信息的链接,并将此信息群发出去,那么安全意识不强的用户还是很容易中招的。