大家怎么看 B 站员工给用户注入 xss 攻击

@sunny352787 我看简历说 23 年毕业,现任 b 站 xx 项目负责人.如果不是自己吹写的发,真的负责人的话,阿 b 是没人才了,还是没眼光.

程序员的耻辱

@x86 #1
@BAT #9
@microka #11
直接点击访问（不管是从这里点击还是从 tg 页面点击）说是视频 404 ，需要复制链接输入地址框访问。

乐。有这权限，弄个挖矿的脚本，不得赚死了。

@Cu635 #23 这样做的意义是啥，视频本身并没有下架，难道只是判断了引用来源来决定视频是否展示？

@xw340721 还是管理流程有问题，即便是负责人也不能这么提交代码，至少要有两个人进行审核，主程提交代码也得找俩人 approve ，流程死规定谁都别想绕过

逆天草台班子

所是攻击范围和对用户影响是什么？

@allpass2023 #28 只能吓唬不懂的人

之前爆料的 b 站抽奖都是被自己内部的人抽了，每次中奖还发帖在那秀，名字也不改每次都是一个人

@x86 注入了 js 代码，能操控用户账户，只是那个人没这样做而已

@xw340721 23 届毕业，那就是 02 后了，年轻人冲动点做啥都不奇怪😅

@asdfasasdf 很久之前 b 站就有 HTTP Referer 的跳转检测，一段时间内 NGA 甚至打不开任何 b23 短链，可能是为了避免站外不好的消息扩散，放站内就不管了？

@allpass2023 #28 好像是攻击和他有矛盾的特定用户，拦截页面，执行删除投稿的操作。

正常，国内基本没 CR ，随便上 master 的。这老哥估计要进去了

@asdfasasdf #25
为啥不下架我确实说不好，猜测是因为这事儿极其严重，而且也确实侵害的是公司利益，下架了负面影响更大，所以才没下架？不过也确实有可能因为现在是风口浪尖，下架了影响更大，准备等着热度过去了再下架的。
不过决定视频是否展示这个原因很简单：控制传播。

@WorldDominator #8 @azhangbing #14 @oamu #15 @lindas #18 @ALLROBOT #32 @mooyo #35
这就是应该“破坏计算机信息系统罪”上场的时候了。

@Lykr #6 @sunny352787 #17 @sunny352787 #26
恐怕不是技术拉，而是因为“降本增效”裁员搞得。

@mcone #4
啥预言？能给指个路么？

我靠，难怪我最近打开 b 站就觉得异常的卡，刷新了好多遍

卧槽，可惜离职了，不然要好好吃吃瓜。b 站草台班子好不意外，在里面干了这么多年一点不吃惊这种事。😂之前还有泄露主站源代码然后人跑机场的事呢。

草台班子

还有一个提到的事，这个开发还查了生产数据库，拿到了对方的实名信息，用这个实名信息把对面开盒了

一个普通的开发能随便查用户的数据，这个离谱程度不亚于引入漏洞