«

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息

admin 发布于 阅读:24476 业界新闻


B站源码泄露背景:

晚间逛V2社区的时候刷到了这么一条帖子:Openbilibili? B 站在 Github 上公开了自己的后端源代码。 

下面各位V友吃瓜群众或喜闻乐见,或惊奇不已,我是个凡人我也不例外!作为一名合格的吃瓜群众,当然要立马去GitHub fork了一份,但是gayhub:https://github.com/openbilibili/go-common 却提示我This repository has been disabled.这个不能忍!最简单的办法就是看那些手快的已经fork了,在从他哪里fork一份过来,如果你fork失败那就直接下载,前面两种方法都不行的话可以看热心的V友们提供的分流下载地址,但是不保证原滋原味那怎么保证原汁原味呢?就有V有讨论了,看提交历史,其中有这么一段,

commit beccf3fe4313be190d655c9f0620a6b4fac0b522 (HEAD -> master, origin/master, origin/HEAD)
Author: root <[email protected]>
Date:   Mon Apr 22 02:59:20 2019 +0000

    init



但是紧接着就有不同的意见,并且复现了可以以特定的提交者信息显示,

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息

而且这个GitHubopenbilibili也是十个小时前全新创建的,

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息

那么谁泄露的也就成了讨论热点,有的说是前员工,有的说是被黑了众说纷纭,我们不需要去追究谁,站方自然会去追究,我们来看一下这份源码有哪些有趣的地方。


第一个:弱口令

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息


在源码在搜索root或者是123456,可以看到有dns和readDSN的连接是root:123456这样的简单的账号密码组合,当然地址是内网的,应该是内网的同意网关出口之类的,这也算一个安全隐患吧,要是别人进了内网或者是内网同事自扫描一波,那岂不是不可言喻...弱口令永远都是第一威胁,我在渗透测试中对于弱口令也是屡试不爽,比如拿到了后台账号或者数据库连接相关信息后,直接去连接远程桌面,有很大可能会成功,特别是前两者都为true的时候!这也表明管理员喜欢使用同一个账号密码的弱密码!

第二个:rank相关算法泄露

这些rank算法的泄露对于B站来说或许会有点麻烦,需要更新新的算法,不然大家都知道你的算法了,就很有可能据此找到相关漏洞从而加以利用,虽然B站在微博说了这是早前的代码不是最新的代码,但是后端大体的架构还是不会变化太多啊。官方微博原文:[在网上流传;经内部紧急核查;确认该部分代码;我们已经执行了主动的防御措施;确认此事件不会影响到网络安全和用户数据安全;我们已于第一时间报案;将调查其源头;],但是微博后来又自己删除了,通过看代码的最后提交日期,搜索相关的关键词比如拜年这些,基本可以确定代码肯定不是最新的,但是也是最近半年的。但是事发后貌似B站的毛老师@毛剑表示:我都不慌,你们慌什么:

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息


第三:GO语言在后端代码中占主要

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息


其中Go 89.7% Python 10.1%,外加一些其他的shell脚本、html和javasript这些

第四:程序员和产品经理之间的战争

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息


在源码中搜索fuck相关词语可以看到很多类似于fuck chanpin 、fuck game、fuck article等等

第五:还有比较耿直的注释

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息


B站的弹幕你看到的不一定都是真实的!在源码中有这么一段代码,其注释显示在中奖环节,即使你没有中奖,系统也会代你发布弹幕!从而造成一种很多人中奖的现象,而且概率是20%!

第六:B站有趣的程序员

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息


有一首打油诗:

代码垃圾非我意,
自己动手分田地;
你若气死谁如意?
谈笑风生活长命。
powered by 主站质保团队。

第七:疑似B站在线用户统计和HotWord热词

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息

B站(bilibili)后端源码泄露,我们可以从中了解多少信息安全知识和代码里的有趣信息

最后,我也fork了一份,对于感兴趣的可以去下载:https://github.com/Mr-xn/openbilibili ,看看学习一下他们的GO语言代码也是不错的。如果站方要求删除的话我会删除的,有需要的自己保存。

2019-04-25更新:Github 在 bilibili 通过dmca数据版权法案申诉后 屏蔽了,故我上传我之前打包的,欢迎下载:bilibilihide-master.zip bilibil_master.zip 两个版本时间先后不一样,作为学习 GO 下载学习一下还是不错的,也不影响。

源码 github


扫描二维码,在手机上阅读

推荐阅读:

收到12条评论
avatar
独自等待 2019-08-15 18:02
大兄弟,是通过dmca数据版权法案申诉的,你写成dcma了。
回复
commentator
Mrxn 2019-08-18 14:34
@独自等待:哈哈哈 失误。。。多谢老哥 提醒
回复
avatar
shuai1993 2019-05-18 16:40
下载不了啊、、
回复
commentator
Mrxn 2019-05-28 13:39
@shuai1993:可能需要翻墙
回复
avatar
noobma 2019-05-14 19:52
老哥请问你那个在多个文件中搜索字符串的工具是啥呀(就f***那个)?
回复
commentator
Mrxn 2019-05-14 20:36
@noobma:图中演示的使用的是 微软出品的开源轻量级IDE:vscode
回复
avatar
牧轩居士 2019-05-10 22:08
厉害了,这个程序员估计要凉凉
回复
commentator
Mrxn 2019-05-11 00:14
@牧轩居士:太冲动,但是情况特殊!
回复
avatar
路過 2019-04-29 13:37
老哥,可以跟你要源码吗?现在网上都被封杀了,可以话,用GD或微软云端...
回复
commentator
Mrxn 2019-04-29 20:55
@路過:我的文章最下面就有下载地址
回复
avatar
大致 2019-04-23 12:34
曾经我们这有人在注释里骂产品经理的,被客户看见了,算成我们的严重质量缺陷。
后来代码检查工具里就多了关键词过滤。
回复
commentator
Mrxn 2019-04-23 21:22
@大致:长见识了 哈哈
回复