摘要:美國當地時間2016年5月15日,一名代號為Revolver(推特名@1x0123)的黑客聲稱他獲得了 Pornhub(世界最大的成人網站)一組服務器的訪問權限,隨后以1000美元的價格出售了shell后臺代碼和命令注入權限。在15小時后 Pronhub網站回應稱他們正全力調查漏洞情況,不過目前他們沒有發現任何實際執行服務器(a production server)被獲取權限。
破解4日前 Pornhub宣布了一項懸賞捉蟲計劃
擁有近3000萬-6000萬日訪問量的Pornhub是全球最大的成人內容服務網站,由于非常容易成為黑客攻擊的目標。為了鼓勵人們提交網站安全漏洞,成人網站Pornhub近日攜手漏洞披露企業HackerOne推出了一個“賞金除bug”的項目,激發人們在第一時間匯報漏洞。據了解,為了提升網站的安全性,Pornhub可謂是下了“重金”。發現者只需在第一時間匯報漏洞并附上清晰的文字說明(遵照怎樣的步驟可重現bug)、屏幕截圖、概念驗證代碼等,就可以獲得50美元至25000美元的獎勵。
不過Revolver似乎并不太看重賞金,他在推特上回應他不再會參加任何懸賞捉蟲活動。Revolver在推特中回應道,他在服務器處理用戶檔案頭像上傳的腳本中發現這段漏洞。他利用該漏洞上傳了一段Webshell可執行后門至Pornhub服務器,他已經獲得了向服務器注入命令的權限。Revolver在黑客界已經早有名聲,Revolver曾協助過愛德華·斯諾登,他在斯諾登創建的新聞自由基金會網站上通知了他一段盲注跨站腳本代碼漏洞。他還以推特的形式記錄了近期的黑客破解活動:Naughty America、洛杉磯時報控制后臺、Telegram、SourceForge、紐約時報、Outlook.com、美國陸軍、NASA等。
京公網安備 11010502049343號