聲明：該文章來(lái)自（藍(lán)點(diǎn)網(wǎng)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

據(jù)嗶哩嗶哩網(wǎng)友?@老變態(tài)了了了?發(fā)布的消息，嗶哩嗶哩某員工利用自己的職權(quán)擅自在整個(gè)嗶哩嗶哩網(wǎng)頁(yè)版中加載惡意代碼，這段惡意代碼通過(guò)這名員工 (真實(shí)姓名為倪袁成) 自己注冊(cè)的域名加載。

公開(kāi)消息顯示倪袁成主要負(fù)責(zé)嗶哩嗶哩網(wǎng)頁(yè)端 DanmakuX 彈幕引擎的開(kāi)發(fā)和優(yōu)化，而引入這段惡意代碼的原因僅僅只是為了攻擊特定網(wǎng)友，目前猜測(cè)是倪袁成與其他 B 站網(wǎng)友在站內(nèi)對(duì)噴后心生怨恨，于是利用自己的權(quán)限加載這段惡意代碼。

被攻擊的特定網(wǎng)友在點(diǎn)擊任何視頻后頁(yè)面都會(huì)被替換為空白頁(yè)面并彈出提示稱「你的賬號(hào)已被封禁」，但實(shí)際上倪袁成并沒(méi)有直接封禁用戶賬號(hào)的權(quán)限，而用戶賬號(hào)本身也沒(méi)有被封禁，看到的提示算是倪袁成在前端耍的小伎倆。

沖動(dòng)的后果是什么呢？

從網(wǎng)友發(fā)布的視頻中可以看到倪袁成與網(wǎng)友的對(duì)噴還挺多，后續(xù)的聊天顯示倪袁成非常囂張的報(bào)出網(wǎng)友辦理的手機(jī)號(hào)碼以及最近通過(guò)網(wǎng)頁(yè)端觀看視頻的記錄。

當(dāng)然當(dāng)時(shí)嘴有多爽現(xiàn)在心里估計(jì)就有多后悔，因?yàn)樵诰W(wǎng)友反饋后 B 站已經(jīng)排查并確認(rèn)問(wèn)題，隨后給網(wǎng)友反饋稱將這名員工 (B 站客服并未透露這名員工的姓名) 開(kāi)除并將通報(bào)給監(jiān)管機(jī)構(gòu)，另外倪袁成的主管也遭到處罰。

B 站客服所說(shuō)的通報(bào)給監(jiān)管機(jī)構(gòu)大概率說(shuō)是 B 站會(huì)報(bào)警，畢竟這種利用權(quán)限私自引入惡意代碼的行為已經(jīng)是嚴(yán)重的違法犯罪行為，B 站不太可能直接開(kāi)除了事。

但這也暴露 B 站的重大問(wèn)題：

隨話說(shuō)日防夜防家賊難防，黑客并沒(méi)有通過(guò)漏洞入侵 B 站，但倪袁成作為內(nèi)部員工卻成功引入了惡意代碼，顯然 B 站在代碼審核和推送方面存在安全漏洞。

按理說(shuō)推送新代碼到生產(chǎn)版本中應(yīng)該要經(jīng)過(guò)審核和復(fù)核，估計(jì)這也是倪袁成主管也遭到處罰的原因之一，最起碼也得背個(gè)管理不力和代碼審核方面的黑鍋。

目前 B 站已經(jīng)清除這段惡意代碼，建議用戶清除瀏覽器緩存以及刪除 Cookies 等數(shù)據(jù)徹底干掉倪袁成引入的這段 js。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/