Evi1m0,来自知道创宇,邪红色信息安全组织创始人
早上刚到公司看到朋友发给我的GoogleHack语句,然后试了一下:
site:wx.qq.com/cgi-bin/mmwebwx-bin/getstreamurl?
链接如上,当然现在已经无法访问视频了,会出现登陆微信的界面。
分析链接可简单看出:
uin=?
videoid=?
favid=?
from=?
isappinstalled=?
用户uin,视频id,from来源,当时我在想那么多视频都是什么视频呢?
于是我进行了长达*分钟的观察,发现全部都是三级地震的片子?
后来乌云平台上便出现了:微信各种视频泄露小伙伴都懂的(秒杀艳照门)漏洞
并加为精华漏洞,随后微博上开始大肆宣传此“漏洞”的危害性,转播瞬间超过300。
各方评论不一:
@狗肉盖饭mbqdpz: 移动app的链接蜘蛛怎么抓得到,915726800这个号视频为什么这么多?很明显是自己拍完视频发到各种贴吧论坛去,然后被蜘蛛爬到的:http://t.cn/8FuHor0 用脑子想想就懂的呀,微信多少用户,那么多聊天视频,为什么搜索引擎只有那么点记录,而且都尼玛是黄色的。肯定尼玛是这些2货共享到论坛贴吧造成的啊!
@呆子不开口: 用户只是分享给好友或特定论坛,微信也可以保护此目录不被搜索引擎整理成全网列表,如果robots里disallow了,用户分享了又怎样,起码不会让搜索引擎收集起来在全网传播色情而违反相关政策吧!
一开始我就在思考Google是如何抓取到这些“敏感URL”的,后来经过“高科技”的一番小调查发现,这些都是“用户”故意发布视频然后将视频URL去各大3级地震网站以及各贴吧发布。Google很理所当然的把这些结果全部爬了下来。
至于说到腾讯的责任,说他们应当限制Robots然后禁止收录,其实这原本上就已经影响了正常,有些用户就想把视频发给大家然后去搜索引擎收录让更多的人来看呢?当然现在已经进行了限制。
说好的也有,说坏的也多,你没把视频宣传到外面谁会看到,如果你都已经放到各大3级地震网了,还怕别人来看?有人说那也不能被搜索引擎收录啊!但是我上面说到了,Google是怎么收录到的这个网站。So,大家没有看到真正生活照/视频的流出,只是被流出/收录了部分”精彩视频“。
想要”精彩视频”的私信我,别叫我雷锋,叫我红领巾吧!
归根揭底,不用担心这个事了,安心的写你们的代码看你们的视频。另外我可不是水军:)
uin应该不是微信账号吧