社交網絡應用 Discord 最近比較煩,將擊各件因為安全公司發現有不少黑客使用 Discord 的不再永久文件托管功能來分發惡意軟件,對 Discord 來說自己不收錢結果現在還被惡意利用,支持義烏外圍(外圍美女)外圍女(電話微信156-8194-*7106)一二線城市可以提供高端外圍預約,快速安排30分鐘到達簡直是永久意軟煩的不得了。
原本 Discord 的文件 CDN / 內容分發網絡的設計是不存在校驗的,因此任何人都可以在 Discord 里發送文件然后再提取鏈接放在別的托管題藍地方分發,比如提供軟件下載。此打持久
黑客也看中了這個功能,類惡黑客把自己做好的化問惡意軟件也通過 Discord 中轉然后拿去分發,結果安全公司發現 Discord CDN 至少被 10,點網000 個惡意軟件利用拿來分發惡意軟件攻擊用戶。
黑客喜歡 Discord CDN 還有個原因是將擊各件義烏外圍(外圍美女)外圍女(電話微信156-8194-*7106)一二線城市可以提供高端外圍預約,快速安排30分鐘到達 Discord 提供 Webhooks,黑客甚至可以使用 Discord Webhooks 來從受感染的不再設備里偷數據、偷憑證、支持偷 cookies 等。永久意軟
Discord:心累,直接掀桌子吧
針對這個問題 Discord 此前有過措施嘗試解決,但效果并不好,所以又被安全公司點名后 Discord 決定掀桌子,既然你們不仁那也別怪我不義了。
Discord 將在近期升級安全策略,不再提供 CDN 的永久文件托管,而是為每一個 CDN URL 加上參數,校驗身份的同時還會自動過期,因此基本沒法再持久化。
Discord 準備添加的參數包括 ex、is 和 hm:
其中 ex 指的是 expire 也就是釋放時間,所有上傳到 Discord 的文件生成的 URL 都將在 24 小時后過期,過期后無法再訪問,必須生成新鏈接;
hm 指的是給定簽名,這個是用來驗證身份的,沒有有效簽名的鏈接即便在 24 小時有效期內也無法訪問;
is 這個參數暫時沒看到具體說明;
以上 URL 在 Discord 客戶端或者第三方 API 調用中是可以自動刷新和生成的,因此對正常使用的開發者來說影響比較小。
但這些措施有效嗎?
有效但可能還不夠,因為 URL 過期時間是 24 小時還是比較長,黑客可以利用腳本定期獲取新 URL 然后利用新 URL 繼續投放。
盡管這樣效率比較低,因為舊鏈接過期后就得更新鏈接,但還可以使用短連接的方式配合腳本自動刷新 URL 實現持久化,當然想要利用的話方法總是有的。
估計后續 Discord 還會繼續針對這個問題進行安全改進來打擊惡意軟件,另外 Discord 強調取消永久文件托管后,如果用戶或開發者還有類似需求,建議出門左轉找其他服務去。
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
