近日,Github上流传着一份B站的后端源码,大小在47M左右,据说是被B站的程序员恶意公开的,代码非常完整且全面,如果是做站的人或者是程序员,这份代码将非常有用,据说该份代码已经被大量传播转发。
1、这是一段什么代码?
这是B站的后端工程源代码,看情况B站就是使用这个代码部署网站的。特别值得注意的是,这套代码泄漏得完整而全面,用户可以从中间窥得B站绝大部分机制的源代码。
2. 泄漏这段代码有什么后果?
最明显的后果就是,B站代码的很多隐患将会被曝出来。B站的代码水平在行业中属于中游水平,因为B站不是一个工程师文化、程序员主导的技术导向公司,给程序员开的薪水也不多,导致了程序员和代码水平维持在相对不高的水平。这个问题导致B站既不太可能做好权限管理,也不太可能快速反应(联系GitHub takedown),说白了就是一直不重视。这一点其实之前各种事件也能看出来。
如果一个人他想通过B站后端代码攻击B站,以前他需要做的事情是逆向B站的代码,猜测其运作原理和漏洞位置,但是现在他可以直接阅读源码,从中找到很多0day的尚未公开的漏洞,并达到自己的目的(比如说视频灰产,找到视频方面的漏洞然后盗取未公开视频;通连接到后台数据库做一些提权,获取用户信息,这些都是有可能的)。
B站会怎么解决呢?这很可能解决不了。因为这个后端代码非常庞大,而漏洞就像是地雷,写代码的人是不知道漏洞在哪里的,唯一能够避免损失的办法就是耗时耗力地重写。
但是说实话,B站没有这个能力。这是一套完整的框架,从代码量也好时间也好,B站都没有能力、没有精力去重写。那么B站唯一的选择就是继续用这套代码,漏洞就只能发现一个解决一个。 但是只要代码存在漏洞,那就必然有极大的风险被黑产利用。接下来,B站就像是招摇过市的小孩,很多人都有办法撸一把了。
3. 接下来可能会有什么瓜?
据称事情是一个被裁员的程序员的报复。 这个恶意上传代码的程序员的职业生涯已经结束了。互联网行业再也没有他的容身之地。 代码一定会得到进一步扩散,B站最可能的第一部措施就是联系GitHub,将代码takedown。
但是晚了。B站的反应太慢了。 B站将会以千疮百孔的姿态迎接无数带有恶意的人。
有一些眼尖的程序员同学,分析这些代码的时候却发现了一些奇怪的功能:
比如:抽奖不成功也发送弹幕,概率20%,造成一种很多人中奖的假象。
防垃圾信息规则中,记录了不少违法网站,
用户在B站的真实消费会员或者白拿的会员,待遇明显不同。
如果UP主大量删除视频,发送紧急提醒。
还有后台可以编辑主播人气系数;普通人发布的弹幕可能会被顶掉,会员则不会等,还有很多有意思的内幕,可以看这个知乎条目:
https://www.zhihu.com/question/321233435
源代码的话,在github搜索bilibili,按照上传时间排序即可。
地址:https://github.com/search
未经允许不得转载:男人之家 » B站后端源码被恶意公开,程序员纷纷转发下载
评论前必须登录!
登陆 注册