如何黑掉知乎？

今天知乎搞了个活动，主题是“网络安全的背后”，邀请我作为嘉宾参与答题。

我答了两个题目后感觉不过瘾，于是提了个问题“如何黑掉知乎？”，在知乎答题嘛，就按照知乎的游戏规则来。

前些时我听到某大牛跟我说想渗透下知乎玩一下，所以我直觉上感觉知乎的菊花可能要紧一紧了。

提完问题后，我邀请了同为嘉宾的来自“PKAV小组”（就是那个给黑板报的黑客讲坛投稿过的团队）的李普君回答该题，直觉上感觉他应该有料。

孰知过了一个小时回来一看，李普君同学果然不负众望，贴了一个之前黑掉知乎的过程，我自作主张摘录到这里：

==== 我是如何黑掉知乎的 ====

作者：PKAV-李普君

一次偶然的机会我通过前端问题在社区种下的蠕虫拿到了管理员 @李奇 的身份权限，知乎用户体验真是出奇的好，一进首页就被导航栏大大的「管理」两个字吸引了，点进去直接就是管理后台（图就不贴了）。

黑下之后我干了些啥？

后台权限在手里留了一个月之后发现实在是没啥用啊，除了能审批一些东西基础上没啥其它好玩的。翻来翻去看到有一个首页公告栏可以植入html代码。我通过这个点在首页植入一段脚本，也没干啥坏事，就是自动关注我 + 踩一些我看的不爽的答案。

是怎么被发现的呢？

问题就出在自动关注上，一些知友觉得很奇怪取消了又被自动关注上就去投诉我，管理员就把我号给封了。这时候他们还没意思到后台权限被拿了，我看号被封了也没想那么多，就自己上后台解封了，估计就这个原因被发现的（@李奇 求证）。

这也是这个问题的答案：“从未主动操作过却显示「已关注」某人，甚至取消关注一段时间后又会「自动关注」之，这是什么情况？”

那么，管理员可以查看匿名吗？

从后台来看我拿到的是最高权限组，没有任何有关匿名的功能，所以不用担心。不过，的确是有「永世不得翻身强制折叠」功能。

之后，发生了什么呢？

@黄继新 和相关的开发人员都有跟我沟通过，漏洞他们已经发现和修补了，但还是让我把漏洞提交到乌云网，给我发放礼物，对白帽子的态度上知乎绝对是 业界良心。

现在还有办法可以黑掉知乎吗？

未完待赞……

@大风 故意邀我的 (← ←)~~

====

根据李普君的描述，应该是在知乎上放XSS蠕虫，获取了管理员的Cookie，而知乎的后台可以从同一个域下直接登录，从而获取了管理员的后台权限。这次攻击其实是浅尝辄止，李普君同学业界良心。

上周我遇着黑哥的时候还在和他感叹，近些年来没有什么影响力大的新技术问世，创新精神已经大不如前了。我们讨论到近年来比较流行的攻击技术一个是“社工库”（就是V那种手握13亿用户信息、密码库的，回复01查看关于V的文章），一个是“XSS盲打”。我个人认为这两种技术都有很大的机会黑掉知乎。

所谓的“XSS盲打”就是在网站前台，比如评论等地方，插入一段XSS的攻击代码；当管理员在后台审核评论内容时，因为后台页面很可能也没有防范XSS攻击，所以XSS代码会执行，从而可窃取到管理员的后台权限。其实这个技术在三、五年前就出现过，我记得安全组织80sec曾经用这个技巧黑过cnBeta，不过当时还没上升到这个理论的高度。

期待有更精彩的答案出现。

[原文地址]

留言评论（旧系统）：

文章来源于lcx.cc:如何黑掉知乎？