adv

adv

百度联盟广告脚本被插入攻击GitHub代码

安全 百度
WinterIsComing (31822)发表于 2015年03月27日 13时08分 星期五
来自百度是中国的部门


如果你在国外,访问cbjs.baidu.com/js/m.js显示的代码和在国内访问该网站的代码是不同的(如图为国外访问内容)。该地址是百度广告联盟的JS脚本。该脚本插入了攻击GitHub(greatfire和cn.nytimes)的代码,也就说如果从国外或代理服务器访问嵌入百度广告联盟脚本的网站,你相当于在帮助发起针对GitHub的DDoS攻击。暂时不清楚这些代码是否是百度植入的。

评论已经自动封存,请勿再发言论
显示选项 样式:
声明: 下面的评论属于其发表者所有,不代表本站的观点和立场,我们不负责他们说什么。
  • 匿名用户 (得分:0) 2015年03月27日 13时27分 星期五

  • 一个“挫”字怎么写 匿名用户 (得分:0) 2015年03月27日 13时33分 星期五

  • firefox 加 noscript,从来不运行baidu的脚本 匿名用户 (得分:0) 2015年03月27日 13时38分 星期五

  • Re:(得分:1 识见广博)

    moses(5965) Neutral 发表于2015年03月27日 13时41分 星期五
    我訪問 solidot 這篇文章, Chrome 都提示有惡意代碼....... https://twitter.com/Mosesofmason/status/581328833330221056/photo/1
    --
    "I may not agree with what u say but I'll defend to the death ur right to say it."
  • Re:(得分:2 识见广博)

    moses(5965) Neutral 发表于2015年03月27日 13时48分 星期五
    在 chrome://settings/contentExceptions#javascript 下新加了一條規則 [*.]baidu.com block
    --
    "I may not agree with what u say but I'll defend to the death ur right to say it."
    • re:Re: 匿名用户 (得分:0) 2015年03月27日 13时55分 星期五

    • re:Re:(得分:1 )

      rahj(32935) Neutral 发表于2015年03月27日 14时53分 星期五
      谢谢!
    • 不行啊,还要上百度网盘呢 匿名用户 (得分:0) 2015年03月27日 16时43分 星期五

    • re:Re:(得分:1 )

      Pb(17384) Neutral 发表于2015年03月28日 13时43分 星期六
      Safari 有类似解决方案吗?
  • 通用 匿名用户 (得分:0) 2015年03月27日 14时48分 星期五

  • 太恶劣了. 屏蔽脚本插件是必须的. 匿名用户 (得分:0) 2015年03月27日 16时06分 星期五

  • Chrome设置屏蔽所有百度的JS代码(得分:1 )

    mtjs(11507) Neutral 发表于2015年03月27日 17时10分 星期五
    在Chrome的设置->显示高级设置->隐私设置->内容设置->JavaScript->管理例外情况中,输入百度的网址(需要通配符,例:[*.]baidu.com ),再将行为设置为禁用即可。
    --
    ✎﹏﹏ Knowledge is power.
  •   此评论已被管理员删除。
    • re:根子在这里: 匿名用户 (得分:0) 2015年03月27日 23时32分 星期五

      •   此评论已被管理员删除。
      • 高级黑(得分:1 有趣)

        匿名用户 发表于2015年03月28日 01时19分 星期六
        rt
      • 你懂什么叫DDOS吗(得分:1 )

        Panggit(19418) Neutral 发表于2015年03月28日 03时52分 星期六
        就是拒绝服务攻击,不需要成功跨域请求,仅仅是拒绝有时候就足以让服务器瘫痪。
      • re:根子在这里:(得分:1 )

        hhding(6047) Neutral 发表于2015年03月31日 14时28分 星期二
        做了一点小功课,跨域请求是可以的,至于请求是否成功,那就另当别论了。

        详细可以参考下面几个链接。

        http://my.oschina.net/liuxiaori/blog/64256
        http://en.wikipedia.org/wiki/Cross-origin_resource_sharing
        http://www.w3.org/TR/cors/
  • 一个靠道德绑架来实现政治目标,一个靠劫持流量来DDOS 匿名用户 (得分:0) 2015年03月27日 17时25分 星期五

  • GitHub可以在美国起诉百度么 匿名用户 (得分:0) 2015年03月27日 22时58分 星期五

  • 从现象来看,是大墙所为(得分:2 见解深刻)

    bigandy(35649) Neutral 发表于2015年03月28日 09时49分 星期六
    从目前的现象来看,以及对大墙能做到的事情,基本上不太可能是百度做的。
    大墙做事有个特征:只能在国家出口干活。
    如果从效果上来考虑设计这个 ddos 模型,自然是国内+国外访问百度广告联盟的用户量比只挟持国外访问百度联盟的用户(虽然用户量也很庞大)更加有效,但目前只挟持了国外请求,说明是大墙在国家出口检测了用户对 cbjs.baidu.com/js/m.js请求以后,替换了m.js 代码的结果,而国内用户对cbjs.baidu.com/js/m.js 的访问请求,是大墙位置无法检测的。