大家来猜搜狗那个安全漏洞的形成原因（猜对获得肉肉签名手帕一只）

大家来猜搜狗那个安全漏洞的形成原因（猜对获得肉肉签名手帕一只）

xsser (十根阳具有长短!!) | 2013-11-06 10:59

首先我觉得这个问题应该是真实的，在用户量大的时候很容易由于内部的算法导致两个用户的身份认证出现混淆，从而导致所谓的“串号”的情况发生，尽管发生的概率比较小，而且可能要满足特定的条件，但是这种情况还是比较常见的

[原文地址]

各种讨论：

1#

园长 (你在身边就是缘，缘分写在数据库里面。) | 2013-11-06 11:01

没有人说过只有一个人出现这个情况，所以为什么不能是异常导致的？

2#

xsser (十根阳具有长短!!) | 2013-11-06 11:02

@园长 异常的原因啊 原因是啥

3#

yexin | 2013-11-06 11:04

猜测是数据库混乱，相同串号在同一时间写入不同数据库

4#

小胖胖要减肥 | 2013-11-06 11:16

我决定的可能是登陆认证的一个机制问题，且是配合某种特殊的网络情况导致，园长说的异常太含糊了

5#

Adra1n | 2013-11-06 11:21

猜测是登入后有一个设置用户名和账号，估计是用户名匹配时候导致的错误。

6#

刺刺 | 2013-11-06 11:21

个人猜测有可能是直接读取缓存数据导致的；

比如nat转换上网，网内的各位只有一个公网IP，而缓存里面可能只记录的这个出口IP作为取值的主要依据，你不断刷新和请求，就会获取到别人的信息和资料；比如百脑汇的网站就是这样的：当时百脑汇网站有活动，公司内部很多同事登录参与，结果在个人资料那里一刷新就变成其他同事的个人信息了……

7#

Lenwood (\r) | 2013-11-06 11:25

@刺刺 这个搜狗怎么可能想不到，如果有，他们自己的QA就会发现。

8#

FallenAngel (Crow) | 2013-11-06 11:28

不是说QQ登陆么，其他的不好使，估计是调用了access_token和回调openid的时候与另一个人的私钥或者token重复，导致搜狗这边误识别成了其他用户掉取资料来同步。API或者认证回调的地方出问题了吧。。。。

9#

momo (Do-re-mi-fa-so-la-ti-do) | 2013-11-06 11:29

这个搜狗联盟以前就出现过。亲身经历。

10#

齐迹 (换一个容易记住的头像@VIP @nauscript) | 2013-11-06 11:32

@FallenAngel 同意这个观点。个人猜想cookie由于网络问题串了。导致绑定错了。

11#

国士无双 (你这个是跟我闹呐？) | 2013-11-06 11:33

猜不到，但是想要

12#

xsser (十根阳具有长短!!) | 2013-11-06 11:41

@齐迹 如果sogou能够主动的来讨论一下这个事情就好了

13#

Anonymous.Antisec (We are anonymous) | 2013-11-06 11:41

我猜是被360黑了。

14#

xsser (十根阳具有长短!!) | 2013-11-06 11:42

@Anonymous.Antisec 我觉得是存在一些问题 但是被360夸大了

15#

Anonymous.Antisec (We are anonymous) | 2013-11-06 11:47

@xsser 其实主要在于搜狗对于安全的态度，竟然不承认自己的问题。我记得我当初的公司发公告，让所有员工禁止使用搜狗浏览器，因为会收集个人信息，防止oa神马的信息泄露。

16#

苦战 | 2013-11-06 11:55

@Anonymous.Antisec sougou hack 经常泄露一些网站后台路径啥的~

17#

VIP (Fatal error: Call to undefined function getwb() in /data1/www/htdocs/106/wzone/1/index.php on line 10|@齐迹@小胖子@z7y@nauscript|昨晚做梦梦见了一个ecshop注射0day，醒来后忘记在哪了。|预留广告位) | 2013-11-06 12:04

我猜这个流程是这样的：

用户登录->连接云服务器->向云服务器发送UID->云服务器返回表单等信息

然后那个漏洞的洞主点退出的时候正好处于连接云服务器的流程中，退出以后，判断机制出现问题，继续向云服务器发送了UID，此时可能是0或空之类的，云服务器的判断机制也出现问题，返回了数据库中所有内容。

18#

vipons (本内容隐藏，点击右侧感谢查看最新0day) | 2013-11-06 12:08

@肉肉 你的签名 手帕送我个 我带你游青岛

19#

horseluke (微碌) | 2013-11-06 12:12

@VIP 这个分析比较靠谱。

淘宝中间件曾经写过一篇会话串号的技术分析文章，可以参照阅读：http://jm-blog.aliapp.com/?p=2769

20#

Nimda (权限别尼玛沦为新手啊浑淡！) | 2013-11-06 12:33

记得原理人人网也出过类似的问题，登录后退出浏览器。隔一段时间后再进主页，发现进的是别人的主页。

21#

呆子不开口 (我上线时头像会变亮) | 2013-11-06 12:34

我猜可能时这样，登陆后浏览器开始同步数据，但用户很快点击退出后，同步程序仍然去取数据，此时qq信息和认证肯定异常，但服务端可能未验证，或者验证被空字符等逻辑绕过，返回了错误或随机数据

22#

x1aoh4i (---------------------------------------------------------------------------------------------1111111111111111111111111111111111111111111111111111111111111111111--------------------------------------------------------111111111111111111111111111111111111111) | 2013-11-06 12:36

@vipons 做梦吧你 其实也可以的 带我们俩玩么 包吃保住包机票么？@xsser 经过我媳妇允许了么 就送手帕 @肉肉

23#

李旭敏 | 2013-11-06 12:42

@园长 但是网上没有多少人说可以成功复现啊··

24#

xsser (十根阳具有长短!!) | 2013-11-06 12:45

@李旭敏 1 sogou fix了 2 条件苛刻，只有少部分用户受影响，所以说360夸大了这个事情

25#

saviour (Saviour.Com.Cn 正在备案中~~~) | 2013-11-06 12:48

我猜想 搜狗估计是要做云智能表单管理 在你登录后智能记录你的帐号和密码 ->保存到表单－> 在退出后云同步到服务器上保存你的帐号 -> 当你在其他主机登录的时候，自己下载你在云服务器上保存的帐号，方便登录，增强用户体验。

出错的原因就是 当你连续点击退出后 连续向服务器提交保存表单请求 导致服务器判断出错 -> 帐号二次登录后 服务器判断帐号云表单出错 －>导致自动下载了云服务器上的云表单帐号密码

26#

无敌L.t.H (:?门安天京北爱我) | 2013-11-06 12:54

我认为估计是发生了碰撞或者是搜狗打开了某个奇怪的开关。

27#

qiaoy (但我不能为这离开我的祖国) | 2013-11-06 12:58

测试过，与位置相关，比如我在济南用铁通刷豆瓣，刷出来的都是济南的铁通用户。

28#

xsser (十根阳具有长短!!) | 2013-11-06 13:26

@qiaoy 这跟豆瓣有毛关系

29#

erevus (我的乌云币都在小号上,小号不是绑定我QQ，别盗我号) | 2013-11-06 14:12

码农的都知道 如果有些地方没写规范好，逻辑混乱了一点，就会出现很多神器的bug...比如没赋值的数据...天哪知道系统会不会给你赋了什么值

30#

围剿 | 2013-11-06 14:18

不解释

http://pinyin.sogou.com/bbs/forum.php?mod=viewthread&tid=2290860&extra=&page=1

31#

qiaoy (但我不能为这离开我的祖国) | 2013-11-06 14:38

@xsser 我当时拿豆瓣做的测试...

32#

dyun (shall we begin?) | 2013-11-06 14:40

@xsser　如何算猜对呢..

33#

xsser (十根阳具有长短!!) | 2013-11-06 15:20

@qiaoy 与搜狗无关啊

34#

黑色的屌丝 | 2013-11-06 15:21

@xsser 服务器脑抽了。。。

35#

qiaoy (但我不能为这离开我的祖国) | 2013-11-06 15:22

@xsser 是搜狗的浏览器......

36#

zeracker (多乌云、多机会！) | 2013-11-06 15:32

前两个月我的新浪微博也串号了，但是马上就正常了，没来得及截图。@xsser

37#

xsser (十根阳具有长短!!) | 2013-11-06 15:39

@zeracker 要是串到乌云的号记得和大家打个招呼

38#

蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-11-06 17:09

@zeracker @xsser CDN吧。。搜狗不是有网络加速的功能么，估计可能缓存了session。

39#

kEvin1986 (B,生理上体验过了. 心理上就不再需要了.) | 2013-11-06 17:10

lol...

40#

insight-labs (Root Yourself in Success) | 2013-11-06 17:20

随机数不够随机……

41#

xsser (十根阳具有长短!!) | 2013-11-06 17:27

@kEvin1986 当事人出来吧

42#

齐迹 (换一个容易记住的头像@VIP @nauscript) | 2013-11-06 17:36

@xsser 我们公司网站 部分移动线路用户经常串号，，，纠结死人。。

43#

xsser (十根阳具有长短!!) | 2013-11-06 17:36

@齐迹 是滴 其实加密就好吧

44#

齐迹 (换一个容易记住的头像@VIP @nauscript) | 2013-11-06 17:39

@xsser 和加密没有关系哦 比如一个页面 xx.com/user 这个页面根据不用用户显示不同内容。由于运营商缓存导致 每刷新一下看到的结果都不一样。

45#

小胖胖要减肥 | 2013-11-06 18:01

@蟋蟀哥哥 @xsser @齐迹 运营商缓存cookies的话 真的不好搞啊 每个页面加url验证？

46#

kEvin1986 (B,生理上体验过了. 心理上就不再需要了.) | 2013-11-06 18:06

@xsser 我个实习白帽子当毛事儿

47#

墨水心_Len | 2013-11-06 19:38

如@FallenAngel @蟋蟀哥哥 @ ... 同学所说也有可能啊，事出之因太多了。为啥看了@VIP 同学说的突然想到了注入呢？

48#

肉肉 | 2013-11-06 19:45

@小胖胖要减肥 @齐迹 和运营商缓存有什么关系？

49#

老道 | 2013-11-06 19:55

搜狗太贱了。。。这种漏洞是绝对避免不了的。只是被360给恶意起哄了。但是现在搜狗在网上发软文说这事件完全是360导演的，根本没有漏洞。。。

50#

Defa | 2013-11-06 20:05

我觉得应该是某公司发现了该问题，然后黑了一个人的ID，发了帖子，然后开始抄

51#

病狗 (小号行天下) | 2013-11-06 21:09

我哥给我们家人都加入了移动集团业务，也就是小号，我妈的小号是665414，我的号是660414，而当我妈的手机关机时，用小号拨打我妈的手机，都会拨到我这来，很多次了。

52#

齐迹 (换一个容易记住的头像@VIP @nauscript) | 2013-11-06 21:48

@肉肉 运营商为了节约带宽 会对url相同的地址进行缓存。也就是说用户根本就没有访问真实的服务器。

53#

se55i0n (那些年，我们一起看的岛国动作片~) | 2013-11-06 22:17

我之前遇到过sina邮箱串的问题，概率好小，只能种种假设

54#

核攻击 (统治全球，奴役全人类！毁灭任何胆敢阻拦的有机生物！) | 2013-11-07 08:39

mark

55#

蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-11-07 08:53

@墨水心_Len @小胖胖要减肥 如@齐迹 所说，在运营商那里，为了节省带宽，会对响应的URL进行缓存(一般使用squid进行缓存。)，而缓存的时候根本没考虑到用户是否已经登录(因为缓存规则的问题)，所以把注册用户的资料也提供给了其他用户看。 所以造成了这个问题。。

当然，还有其他可能。。就是服务器端session存储器自身的问题。。曾就发现网易就出现过这个问题，而我当时的网络是不会被缓存的。

56#

Power | 2013-11-07 10:26

我突然想起来，我的百度帐号也串过...

57#

wefgod (求大牛指点) | 2013-11-07 10:28

@xsser

还原策划“搜狗重大安全漏洞可直接登陆数千账户”事件的真相V2.pdf

备用地址：http://share.weiyun.com/5571f2c3f31746340e92c8942601d544

58#

Passer_by (腾讯微博的Passer-by不是我) | 2013-11-07 10:37

@xsser 我们公司有人做过测试，比如有人下载更新包。某的小运营商按照你请求的文件名先去拉缓存服务器的文件，所以请求根本就没有到服务器。所以很多人下更新包都验证失败的。所以现在就要求更新包的路径、文件名不能一样。。

我猜测是不是我们请求某些一样的时候，运营商也把缓存给了我们

这类小运营商目前有长城宽带、移动。。

59#

超级地瓜 | 2013-11-07 13:15

被360黑惨了。

60#

horseluke (微碌) | 2013-11-07 13:41

@Passer_by 这个tk教主在之前一次演讲中说过，缓存投毒，用来黑任意网站...

http://weibo.com/1401527553/A6mxPeuRS

http://weibo.com/1401527553/AaPhvCON9

61#

Passer_by (腾讯微博的Passer-by不是我) | 2013-11-07 14:10

@病狗 短号能设置转接？

62#

马丁 (我快要饿死了!!!!) | 2013-11-07 14:14

可以换成签名抽纸一包么,这样感觉会好点

63#

病狗 (小号行天下) | 2013-11-07 17:37

@Passer_by 没设置转接

64#

小胖胖要减肥 | 2013-11-07 23:35

@蟋蟀哥哥 session存储器的自身问题指什么，这个东西我觉得可能和某些特性有关把

65#

蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-11-08 11:21

@小胖胖要减肥 我说的session存储器，指的是mysql，memcached等。。因为在这种大量用户的应用，肯定前端走了负载均衡的，而后端只有一个session存储器。。如果发生某些问题，就很有可能造成串号的发生。

留言评论（旧系统）：