换肤

logo

logo

B站服务器端代码泄露:或影响网站安全

2019-04-23 06:46:22 | 来源:超能网 | 作者:唐裕之
一个商业网站的源代码是一个公司重要的资产之一,源代码泄露等于公司资产外泄。今天著名代码托管网站Github上出现了一份Bilibili服务器端的源代码,这份源码十分详尽,涵盖B站服务器端功能实现。

作为商业网站,源代码是重要资产之一,源代码的泄露相当于公司资产泄露,会对网站造成不好的影响。今天在著名的代码托管网站Github上,出现了一个名为go-common的代码库,而从介绍代码提交人及简介可以看到这是一份著名视频网站Bilibili的服务器端的完整源代码,整个代码库结构清晰,从每个文件夹就可知道负责哪部分服务。

图片来自Unsplash

整个代码库非常的完整,大小有46M之巨,完整覆盖了目前B站后端负责服务。现在最初的提交源头已经被takedown(Github为了保护一些机构、公司代码资产,如果源码出现了泄露,则可以提交takedown申请要求删除泄露代码),整个代码库已经被删除。而从提交人的信息中并不能看到更多的信息,只能看到提交账号openBilbili都是7小时前创建的。

源头账户中的代码仓库已被删除,可以看到此账号是在7小时前注册的

不过基于Github的分布式特性,这件事传出后该代码仓库已经被Fork(这个操作会将被Fork的代码仓库中所有的信息,包括源代码、原仓库中的issus、历史提交等全部复制到你的账号中,方便进行学习修改,这样不会破坏原仓库中的代码)了非常多份,所以仅仅删除源头,还不能完全阻止代码库继续泄露。(不过Github速度很快,被Fork的代码库很多都已经被删除)。

这对于一家商业公司来讲问题很严重。首先暴露出B站对公司内部代码仓库权限管理存在问题。如此完整的代码仓库泄露无论是可见很多程序员都有访问完整代码的权限。其次会对B站自身有影响。一些大的公司一方面有安全应急部门,另一方面会有专门的信息安全公司做安全审计。代码泄漏后,任何人都可以下载代码(现在删的很快,所以拥有完整源码的非B站工作人员应该不多),做代码审计,如果有人心怀歹意,从代码中审计出漏洞但并不会提交给B站,这可能会造成信息泄露风险。

所以基于此希望B站能够尽快跟进此事,再次对泄露源码进行安全审计并修复漏洞,保障用户的信息安全。

声明:该文章版权归原作者所有,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系。
广告合作请联系QQ755851098

我要评论

共有 0 条评论

加入51NB

资讯编辑

职位描述:

    1、负责网站资讯的编辑与发布;
    2、负责网站日常维护,喜欢策划撰写原创话题;

职位要求:

    1、 大专及以上学历;
    2、 有一定文字功底,能独立进行写作、编辑
    3、 对数码产品有浓厚兴趣,关注互联网新动态;
    4、 擅长使用新媒体运营工具;
    5、 工作具有很大灵活性,希望能发挥个人主观能动性。
请将您的简历发送至: service@51nb.com

翻译编辑

职位描述:

    翻译NotebookCheck等外媒评测文章;

职位要求:

    1、 拒绝机翻;
    2、 行文应言简意赅,考虑国内语言习惯;
    3、 能够学习使用简单的html格式代码。
请将您的简历发送至: service@51nb.com

评测编辑

职位描述:

    1、撰写数码产品相关开箱与评测;
    2、能够灵活运用外媒文章素材;

职位要求:

    没啥要求,能写出个性就行。
请将您的简历发送至: service@51nb.com

论坛编辑

职位描述:

    1、负责在论坛制造高质量的讨论话题;
    2、负责轻度的论坛板块管理工作;

职位要求:

    有玩论坛经验者优先
请将您的简历发送至: service@51nb.com

最新评论

会员登录 ×