泥客网 - 发布最实用的电脑技术,最新鲜的网文!
泥客注册 | 加入收藏 |
泥客广告牌
关键词:调侃 探索 电脑 网络 轻松 精彩 移动 高谈

文章中心

您的当前位置:泥客网 >> 科技 >> 网络时代 >> 浏览文章

社交网站与网民隐私安全报告(2009)(5)

2009-04-04 13:16:03 文章来源:泥客论坛 字体:

第五,网站使用大量ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒,网银账户失窃等。

社交(SNS)网站容易遭到的病毒类安全风险主要有两类:一类是因为采用ajax技术而导致的蠕虫攻击,如Myspace、国内的51.com、校内网都曾经出现过各自的网内蠕虫,这些蠕虫通过利用个人空间、模板上的bug,可以自动向用户的好友发送带毒链接,用户浏览后就会中毒。

另外一类是由于SNS网站对cookie的不恰当使用,而导致黑客可以轻易发动CSRF攻击。所谓CSRF攻击,指的是Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

例如,有的SNS网站为了让用户经常登陆,利用一个永久有效的Cookie,让用户永久保持在登陆状态。这样,用户只要输入网站的网址,不用填写自己的账号和密码,就可以登陆,使用SNS网站的各种功能。只要黑客拿到机器上储存的这个Cookie,就可以以用户的身份做任何事情。

这只是CSRF攻击最简单的利用,更复杂的利用包括:如果用户登录到网银账号,则黑客可以通过成功的CSRF攻击,从用户的帐号里转走钱财。或者,在后台“帮用户购买并不需要的商品”。

第六、频繁骚扰注册用户的联系人,诱骗其注册自己的网站,并发送商业广告。

大多数交友网站(SNS)社交网站用户MSN账号、邮件帐号密码、手机号码等资料之后,会对其进行大规模的商业利用。最为常见的方式,就是向用户的MSN好友发送商业广告,或者向用户foxmail通讯录中的邮件地址发送邀请注册信件。尤其是一些网站,会发送带有暧昧的字眼的邮件,通过利用用户的好奇心理,吸引他们注册,骗取其手机号、MSN账号等私人信息。

典型案例:“我从来没有去过任何交友网站,也不爱玩这个,今天突然收到一朋友的电子邮件写着《我想跟你明确关系》,点邮件里的链接后出现一个页面,直接要求我填写MSN账号和密码,这是怎么回事啊?是病毒吗?”北京网民张先生向瑞星客户服务中心的工程师询问。根据瑞星安全工程师查证,这可能是一起的社交网站骗取用户个人隐私信息的行为。

(张先生收到的邮件)

(该网站直接要求张先生提供MSN密码)

前一段时间,一个名为“热血三国”的游戏,由于向MSN用户大规模发送商业链接,被多家媒体广泛关注。有的用户以为自己中毒才受这些垃圾信息的骚扰,而实际上,这是用户的MSN账号泄露后,那些广告厂商利用MSN机器人主动发送的商业信息。

第七、用户在游戏、交流的过程中很容易泄露自己的真实情况,可能给人肉搜索、黑客诈骗带来方便。

对于用户来讲,交友网站是个真实的社交网站场所,而在论坛发贴、发表博客的同时,很容易泄露自己的隐私、个人情况。一旦被人恶意利用,则会出现不可预料的后果。例如,曾经闹得沸沸扬扬的“史上最牛小三”、“铜须门”等事件,就让当事人陷入非常尴尬的地步。

尤其是国内流行的“人肉搜索”,目前主要搜索的领域还是先有论坛、博客等。如果将来扩展到对交友网站的利用,则社交网站隐私的安全按威胁,也将比现在扩大许多倍,更会让普通用户面临毫无隐私的地步。而这些隐私如果被黑客利用,则其诈骗成功率也会大大增加。

(淘宝网上出售的账号,如果被黑客购买,那账号好友的隐私,则处于不设防状态)

交友网站通过“免责声明”规避法律责任

事实上,绝大多数交友网站已经意识到社交网站提到的安全风险,他们通过各种“免责声明”、“用户注册须知”等方式,对自己的法律责任进行了规避。

例如,某网站的注册帮助中写到“本公司对直接、间接、偶然、特殊及继起的损害不负责任,这些损害来自:不正当使用产品服务,在网上购买商品或类似服务,在网上进行交易,非法使用服务或用户传送的信息有所变动。”

又比如,某网站的隐私保护中写到“用户须明白,在使用我们提供的服务存在有来自任何他人的包括威胁性的、诽谤性的、令人反感的或非法的内容或行为或对他人权利的侵犯(包括知识产权)的匿名或冒名的信息的风险,用户须承担以上风险,**网和合作公司对服务不作任何类型的担保”

通过类似的条款,那些交友网站撇除了自己社交网站的责任。

掌上泥客
进入论坛论坛热帖
非凡