Threads 挖小蓝鸟墙脚第一天,Mastodon 修了几个洞
2023-7-7 07:17:42 Author: 非尝咸鱼贩(查看原文) 阅读量:20 收藏

马斯克买了小蓝鸟之后似乎有从神坛跌落的迹象,原来天才钢铁侠也有乱拍脑袋的时候。一些用户陆陆续续开始出走各种 Mastodon 实例。
最近的骚操作更多。禁游客查看就算了,登录用户也限流。每天可以刷的内容居然还带额度,只有充会员才可以解锁更多。看来营收压力确实很大。小蓝鸟诞生的时候世界上还没有 paywall 这种玩法,马一龙不会真打算做 OnlyFans 生意吧?
随便刷刷时间线就用完额度搜索引擎爬虫一刀切,iMessage 聊天工具发推文的也废了。被骂了几天之后,小蓝鸟悄悄回滚限制,允许匿名和部分搜索引擎爬虫访问,不过不包含 archive.org 这个典型的互联网存档网站。
Meta 估计盯上这块蛋糕很久了,昨天直接放出了一款竞品 Threads。有 ig 账号可以一键登录,自称服务端兼容 Mastodon 的 ActivityPub 协议。忌惮于 GDPR,欧洲区没有上线。
第一天上线热热闹闹的,玩梗的群众不少。这俩人线下约架还没开始,小扎先用奇袭先出一记重重的耳光。

怎么没有来去之间,看不起我们渣浪吗?
下载 Threads 的人太多,以至于另一款同名应用被波及,赶紧写上“我们和 ig 没有关系”。看右边那个图标就知道,我也是眼挫下错 app 的人之一。
Threads 兼容其他 Mastodon 实例的功能还没上线,所以后端应该只是兼容了协议,并没有直接用 Mastodon 的开源代码。
虽然我不喜欢某家隐私狂魔公司,不过能挖小蓝鸟墙脚真是出一口恶气。
本来这玩意儿就不是很好用。马一龙接盘之后不但没有兑现夸下的海口整治机器人,各种骗子私信和广告反而明显暴涨。不如大家一起乐子人,把水搅浑。
其实我挺看好 Instagram 插一脚。相比 TikTok 和某红薯这种会把流量给到素人的玩法,小蓝鸟大多数流量还是集中围着 KOL(网红)转。ig 不缺大网红,粉丝粘性可比小蓝鸟的强多了。跟着大 v 起哄一跑,说不定真的就不回去了。
马一龙不是说要做 super app 吗?这下用户都给人撬走了。看着神坛上的人牛皮吹破外加实打实的财务损失,想笑。
Mastodon 让我想起以前大家还在自建各种 BBS 的时候。虽然这些长毛象不太可能真的撼动小蓝鸟的份额,但是小团体圈地自嗨的玩法其实挺适合 nerd 们建立社群的。
一个实例大了,用户多其实也不好管理。之前 Mastodon 官方版的实例 mastodon.social 招来了苍蝇,听说涌入了一堆机器人发广告。还好我注册的是一个小众的服务器,安然无事。只是偶尔会担心万一有一天管理员不想续费域名和主机跑路了怎么办……
巧合的是在 Threads 上线第一天,Mastodon 就发了几个安全公告。Mastodon 在国内还没听说哪个站长在用,吃个瓜就好。
这几个安全问题是 Mozilla 找安全公司 Cure53 做渗透测试发现的。顺便说一句,这家公司有一个著名的开源项目 DOMPurify。
标题
严重性
Verified profile links can be formatted in a misleading wayModerate
Denial of Service through slow HTTP responsesHigh
Arbitrary file creation through media attachmentsCritical
XSS through oEmbed preview cardsCritical

不过这官方也太实诚,补丁刚提交上来就发公告了,还很精确地定位到具体的提交记录。

最严重的是这个文件上传漏洞。

https://github.com/mastodon/mastodon/security/advisories/GHSA-9928-3cp5-93fm

这玩意儿是 Ruby on Rails 写的,表示看不懂。

猜测跟 Ruby 代码没有直接关系。而是上传的附件伪装成图片,调用 ImageMagick 转码时触发了某种特殊格式的特性。补丁在配置文件里禁用了除图片之外的编解码器,所以具体是哪个格式不清楚。首先排除前阵子 PNG 格式的任意文件读取(CVE-2022-44268),然后 PostScript 有很大嫌疑。

而且按照我浅薄的 Web 知识,RoR 的部署方式应该不是 php 那种能写个 webshell 就搞定的。即使实现了任意路径任意内容的写入,应该还需要结合一些其他的特性或者技巧来加载代码。

这时候我又翻了下放师傅之前国际快递送来的书的目录,倒是没看到直接讲 Ruby on Rails 的Vulhub 上也只看到一个关于目录穿越的演示环境。这个框架在国内似乎没有别的技术栈流行,历史漏洞也不多。纯研究目的分析利用的话,说不定可以从其他语言的案例找找灵感呢?

看,这广告是不是植入得毫无痕迹。

另一个标记为严重的漏洞是一个前台 xss。这个补丁就比较好猜到 payload 了,用的 iframe。

不过我有点搞不清楚。iframe 本身有一定程度的隔离,不知道这个效果如何?难道只是 parent 重定向到钓鱼网站?又或者是 postMessage 触发一些接口?

今天的营销号就水到这里。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NDE3MTkzNQ==&mid=2247484907&idx=1&sn=1f82fbe03001b762df74109476a41574&chksm=c329fb1bf45e720d11628baf044e755ceb874e08912b2af5f92c94c9b55652d0a4ef11d3be5e#rd
如有侵权请联系:admin#unsafe.sh