登陆 注册

B站(bilibili)后端源码泄露,让我们一起来查一查到底有什么有趣的东西!

桑云信息Lzers 2019-04-24 哔哩哔哩b站源码泄露解析

B站源码泄露背景

本月22号V2社区发布了这么一条帖子:Openbilibili? B 站在 Github 上公开了自己的后端源代码。 
下方有V友开始讨论,看提交历史,其中有这么一段,

commit beccf3fe4313be190d655c9f0620a6b4fac0b522 (HEAD -> master, origin/master, origin/HEAD)
Author: root <root@vultr.guest>
Date:   Mon Apr 22 02:59:20 2019 +0000
 
    init

紧接着就有不同的意见,并且复现了可以以特定的提交者信息显示

QQ图片20190424192108.png

而且这个Github账号openbilibili也是全新建立的

QQ图片20190424192637.png

那么谁泄露的也就成了讨论热点,有的说是前员工(如黑白网昨日文B站源码泄露,官方回应内容两次秒删!),有的说是被黑了,众说纷纭,我们不需要去追究到底是谁,哔哩哔哩官方自然会去追究,我们来看一下这份源码有哪些有趣的地方。

弱口令

QQ图片20190424192905.jpg

在源码内搜索root或者是123456,可以看到有dns和readDSN的连接是root:123456这样的简单的账号密码组合,当然地址是内网的,应该是内网的同一网关出口之类的.

弱口令永远都是第一威胁,特别是前两者都为true的时候!这也表明管理员喜欢使用同一个账号密码的弱密码!

rank相关算法泄露

这些rank算法的泄露对于B站来说或许会有点麻烦,需要更新新的算法,不然大家都知道你的算法了,就很有可能据此找到相关漏洞从而加以利用,虽然B站在微博说了这是早前的代码不是最新的代码,但是后端大体的架构还是肯定不会有太大变动的。官方微博原文:[在网上流传;经内部紧急核查;确认该部分代码;我们已经执行了主动的防御措施;确认此事件不会影响到网络安全和用户数据安全;我们已于第一时间报案;将调查其源头;],但是微博后来又自己删除了,通过看代码的最后提交日期,搜索相关的关键词比如拜年这些,基本可以确定代码肯定不是最新的,但是也是最近半年的。但是事发后貌似B站的毛老师@毛剑表示:我都不慌,你们慌什么:

QQ图片20190424193224.png

GO语言在后端代码中占主要

QQ图片20190424193326.png

QQ图片20190424193355.png

其中Go 89.7% Python 10.1%,外加一些其他的shell脚本、html和javasript这些

程序员和产品经理之间的战争

QQ图片20190424193506.png

源码内可以看到很多类似于fuck chanpin 、fuck game、fuck article等等

比较耿直的注释

QQ图片20190424193633.png

完了完了暴露了B站的弹幕你看到的不一定都是真实的!在源码中有这么一段代码,其注释显示在中奖环节,即使你没有中奖,系统也会代你发布弹幕!从而造成一种很多人中奖的现象,而且概率高达20%!

Nice有趣的程序员

QQ图片20190424193757.png

代码垃圾非我意,

自己动手分田地;

你若气死谁如意?

谈笑风生活长命。

powered by 主站质保团队。

疑似B站在线用户统计和HotWord热词

QQ图片20190424193907.png

QQ图片20190424193937.png

生成海报
请发表您的评论
桑云信息Lzers

桑云信息Lzers

乐山桑云信息技术有限公司专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。
909文章数 31评论数
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net