如何看待嗶哩嗶哩 1 月 27 日被攻擊事件？

01-08

關於1月27日晚bilibili遭受大面積外部攻擊的說明

看了幾個回答感覺都沒有講到點子上

我來一波半專業回答

看過官方公告後

我的第一感覺是CSRF或XSS蠕蟲最有可能是平行越權

因為他設計的數量級較大，並且沒有涉及到賬號密碼等確切數據.

而且還有一個重要線索是，b站的節操指會因為你發的彈幕而發生改變，也就是彈幕惡劣掉節操.

所以我覺得極有可能是在發彈幕的地方存在了上述三種漏洞之一最有可能的還是越權因為是瞬發的批量利用漏洞然後黑客利用已知的百分之百掉節操值的一句彈幕，寫成腳本批量發送給這些他早就收集好的某等級的Id段，最後腳本再假裝內部員工給你發一個牛逼的消息.

所以 b站並不是不安全再安全的網站也會出現這種小問題另外內鬼這種事我第一次聽說這個事時我就知道不可能.

首先每個公司，包括我自己的公司在簽勞務合同的時候都會註明，如果存在損害公司利益的情況，需要進行相應的賠償.

所以如果不是利益大於罪責的情況下，沒人會做內鬼.

所以不會有b站員工做這種蠢事的，到時候就不是不發工資的問題了……進局子也不是不可能

並且有一些基友提到，在過年時間作案正好符合過年加班這個事，給大家一種很巧的感覺，會不會真的是內部人呢？

但我覺得，就那個時間段作案最符合嫌疑人的（想得到關注的特點）

當時應該是b站一年之內少有的幾次同時在線人數最多的時候了，在那個時候作案引發的單一時段燥點要比其他任何時候都強，而且還會給人一種「真有可能是內部員工作案誒」的錯覺.

另外，提醒大家一下這個@隨天說的話從技術角度完全不通，主流的web攻擊手法，owasptop10里的玩法，都和能不能進去後台幾乎無關，而且裡面的玩法隨邊拿出一個都可以做到不在內網就達成這次攻擊效果的.

所以你說的一點邏輯沒有也完全不懂技術，不要誤導群眾.

最後不能進去後台正好符合了我的推測：沒有獲取到數據，但實施了攻擊，推測是越權或csrf xss.

新年了祝大家新年快樂

拜年祭的神Flag

今天補拜年祭時笑死

===================================

樹大招風，隨著b站發展得越來越大，黑子也越來越多。

但不管怎樣我想說的是，B站，對員工待遇我不是很了解，但是對我作為用戶來講，真的是一個比較良心的視頻網站，沒有其他網站那樣的播放器廣告並很注重用戶的建議和反饋，記得之前反饋的很多東西，例如建議評論可刪除，加快審核速度，數據中心等現在都實現了！這種一起成長的感覺是非常贊的

但是通過這次攻擊也顯示了b站的安全措施不是很完善，並且據說很有可能是內部矛盾所致，希望吸取這次的教訓，調節好內部關係，建立完善的一套房網路入侵方案

總之衷心希望b站越來越好吧

(b站員工心想：我除夕吃個團圓飯都不讓我好好吃(′Д?ヽ)

helen表示對此事負責

這個也要諷刺就沒意思了吧，希望B站早日挺過來吧。

樹大招風，林子大了什麼鳥都會來，這個時候搞攻擊有些吃的多了。

沒意義

顯然b站對於防範攻擊並沒有很好的一套方案。（好在後台硬？）

今年拜年祭有所縮水，但還是有洛天依言和相聲，莫比烏斯手書這樣的好節目的。

還是誠懇的謝謝b站。

過年了就好好休息吧，別黑了（別做無聊的黑客，別無腦黑人家b站），沒啥意義

知乎也好，知乎er也好，b站也好，

祝新春快樂！

b站被攻擊是不可避免的，每一個網站都會經歷這樣的事，因為b站身上的事太多了，也可能是越來越膨脹了，招致別人的不滿，總之一次普通的網路攻擊不能說明什麼。

有個問題，為什麼b站用戶總說低齡化，優酷，愛奇藝，就沒有小學生嗎，鬥魚，虎牙就沒有小學生嗎，怎麼每到一個視頻就有彈幕說b站低齡化。

節操值是什麼？

不過看描述應該是XSS或者越權。。

CSRF動靜太大了（CSRF面向用戶，需要用戶點擊。不過可以用js自動提交，但是這得結合XSS漏洞。。當然也可以站外提交用表單+js。。但是想想就不可能了）

不過XSS的可能性也不是很大（上面說了）

所以只剩下越權了（像B站這種站。post和get越權也是極小的。所以很大的可能性是cookie存在越權）然後大規模的話，python（requests+for循環就搞定了）當然其他語言也可以

級別lv4的我莫名受到了傷害，我是該開心還是該生氣呢.......

這是要閑的多蛋疼才去扣高等級用戶的節操值

陰謀論的說一下，更覺得有內鬼

或者攻擊者獲得的數據不止這些

-----------------

一堆人感謝卻沒幾個點贊2333333…

-----------------

一堆人問我是什麼大學畢業的就敢在這這麼說

首先我要告訴你們，我現在才高中，離大學畢業還遠呢。其次，不要總是以為學歷決定一切，就拿我現在的所在的高中，中山紀念中學來說，前陣子剛在hackerrank舉辦的全球性編程比賽中拿到的第二的成績，前五名裡面唯一的一所高中其它都是大學

雖然這次比賽很多大學都沒有參賽（比如清北），但也有很多世界級名校，足以證明能力與學歷之間並沒有必然關係

----------------------

剛看了@ziwen的回答，貌似知乎是沒有@提醒，所以現在才看到

看得出來，ziwen應該是個專業人士，答的很有水準用詞也標準，我只是個業餘愛好者更談不上行內人，所以並不認識你，我在這裡提出些我的看法

按照你的理論，B站需要存在一個一下掉100%節操的漏洞，這個漏洞存在的可能性實在有點小

CSRF攻擊必須要滿足下面兩點要求

1.登錄受信任網站A，並在本地生成Cookie

2.在不登出A的情況下，訪問危險網站B

所以要實現至少擁有B站1.8%的用戶Cookie，並且他們都要訪問另外一個危險鏈接，這～

XSS蠕蟲的話相比上面那個方法感覺可行性更高一些，不過這兩種方法的通病就是無法進行指向型攻擊，而這次攻擊的用戶只涉及Lv5和Lv6的用戶，她們的佔比是很小的

-_-#也就是說那位黑客估計獲取了半個B站的用戶信息，然後就扣了少部分人的節操，就為了黑一下B站？如果這樣的話估計就是競爭對手派的了

越權我不懂，就不說了

我沒管理過公司也沒上過班，作案動機之類的我也不說了

根據姥爺的微博，很可能是阿里系乾的。

姥爺的相關微博已經被微博官方神隱。

微博，優土豆都被阿里收購了。其中優土豆與b站早有不和。

以上，只是猜想，萬一發展成兩個馬爸爸的戰爭就有意思了。

世道好輪迴蒼天饒過誰，當初b站沒發跡時沒少做捅人菊花的事情

不是我乾的

B站的所有大大最棒惹！(⌒_⌒;)

徐特首欽定了，這個鍋就由a站來背。

我怎麼感覺像是b站在演戲～

至於目的，還不清楚。。

題外話，我大o站前段時間老被搞

驗證碼都不能撤，攻擊源是誰都清楚（笑）

突然想到會不會有這種可能：

某後端程序員，大概年前因為某種緣故不滿B站辭職，

辭職前心懷怨恨，所以準備小小報復一下，

這個動作不能太狠，不然引起糾紛自己被查到也不好過。

也不能太小打小鬧，不然引不起重視。。。

所以寫了個定時任務？到時候調用下節操介面，lv5 lv6的用戶查下應該不難。

大概自己就是代碼審核的角色，所以就無所謂了。。。

完全是個人臆測，大家隨便看看就好

自從沒有了烏雲！我感覺你們水平都停留在2013年！

其實吧，我覺得最主要的問題在於各種消遣類型的網站本身就是一群閑的蛋疼的人的聚集地，時間對於他們來說過的實在是太慢了，於是開始找樂子，尋刺激，刷存在感，看到別人說了一句自己不愛聽的話就開始撕逼，一開始一個人撕，緊接著一群人撕，光嘴上撕沒用，得拿錢砸啊，於是網站運營們喜聞樂見的邊看撕逼大戰邊數錢，只要他們不違反原則性問題就行，我估計只要是運營沒有不喜歡他們這些閑的蛋痛的人的，真是活脫脫送錢的財神爺啊！

想了想，還是匿了。

如果是什麼騰訊網，鳳凰網，網易新聞網被攻擊。也不會有這個問題吧。

你站拍出一個逸的手辦，也不會沒錢請兩個白帽？

你站開心就好，對吧

懷念上個時代的風氣，又享受著當代的繁榮。

有人告訴你，當代為了自己的利益阻止你們，推翻它就能享受和繁榮。

隔壁選擇了這條路。

他的手中有利刃，而特首又有什麼呢？