厉害了!竟然盗用用户的百度云超级会员账号給别人下东西导致账号被封杀,还可以盗用打开用户百度云,一览无遗就象自己家一样用,如果盗用相同密码的其他百度云账号去搞事...,细思极恐!!!
yflinori 发表于 2019-1-22 21:55
不是软件用户就更没必要为黑而黑了,但你上面回帖又说去自己百度云里面看了有没有余地登录IP纪录,这不是 ...
知道有这种事情去看看不可以啊?网页版可以看见登陆纪录。135楼说的事情是这个软件以前盗分享链接和密码去搜索平台分享,楼主说的问题是这个软件上传cookie,有cookie就可以直接登陆用户百度云。看起来就是两个问题,第一个问题原来曝光以后添加了个选择吧,现在是另一个问题,已经是二进宫了,作者好像已经承认并且马上更新软件了,我只是觉得蛮迅速的嘛,欲盖弥彰?说几句话就是黑了?你觉得论坛只能软件使用者才可以说话?
本帖最后由 菩提叶 于 2019-7-8 12:12 编辑
因为这个分析发现了一个疏忽的地方:访问网络的函数是百度云对象的成员函数,而cookie是对象的属性之一,每次访问网络都会设置cookie(如果已经登录),所以才会出现获取加速链接时设置了cookie,设置cookie和上传cookie是两回事,虽然技术上讲也可以提取。
明天更新会加上判断,不需要cookie的地方不带cookie。
速盘从诞生时起就提倡免登录下载,可以说免登录这个概念都是速盘提出的。
因为一个代码上的疏忽导致速盘被黑,我深感无奈。如果对速盘有所怀疑,请不要使用速盘。
我很懒,也很怕麻烦,所以这是第一次,也是最后一次主动澄清,明天会更新一下,修复这个问题。喜欢恶意揣测的,黑子们请随意。
突然想起来,那个cookie设置是访问加速服务器的时候,那么问题来了:不管是vip还是svip都不会访问这个地址,只有普通用户才会。(感谢楼主保存样本,当时的版本可以不更新继续使用,有兴趣证实的可以下载抓包证实一下。)
那么我想问,如果说我收集用户cookie,为什么只收集普通会员的呢?退一万步讲,最算要收集,我不会加密提交?傻傻的设置访问cookie让你抓?
我去,幸好没用这个垃圾,之前看了一个微信帖子,就说这群垃圾收集用户信息,还以为是假的,原来果然是真的,这群狗日的真不是东西,这是盗了多少百度云VIP啊!我的天诶!!!
正所谓,人为财死,鸟为食亡,这个发帖的可以说是此地无银三百两,速盘作为第三方有你说的问题,而同样的Pandownload就没有?你最后一句话“论坛有一个下载器 “Pandownload ” 分析没有发现上传或者其它可疑等操作,然后才分析 “速盘 - speedpan ” 的,没想到出来这些东西。。。”暴露了你就是Pandownload那边的人,估计你也就能骗骗脑残,想想也知道,无非就是速盘的出现触动了Pandownload的利益,这个社会,你把自己说成是耶稣一样,因为速盘有你所指的上传所谓用户数据的危险,你为了社会公道站出来发帖?不搞笑吗?速盘和Pandownload作为百度第三方工具,都是要架构在百度网盘上的,那你用的人自然就应该明白有一定的风险了,你又想省钱开通超级会员,又想高速下载不花钱,哪有那么好的事,所以你稍微聪明点都应该明白,用这种破解软件最好使用小号登录,而且现在各种网络安全问题,你重要的数据还保存在网盘里,最重要的你还是在我大天朝,你觉得在你的网盘还有什么隐私安全之类的?很早就用Pandownload,后来出了速盘,有人说速盘抄袭,你要说没有一点我也不信,但后来速盘很多功能,就像作者回帖说的,免登陆确实是速盘提出的,总之对于我们用户来说,本来百度就严厉封堵各种第三方,你Pandownload做好你的软件,自然会有用户你买你的Plus版,你速盘也别开始在那里说的比唱的还好听,速盘会一直坚持免费,可结果呢,除了进群要加钱,所谓的定制版说什么控制,结果又开始大量开群捞钱,都别装技术大佬,人百度要下狠手作为第三方都得凉,你们赚钱无可厚非,但看到这样黑来黑去的让人觉得恶心!
yflinori 发表于 2019-1-22 20:01
Can you see this?
看上面的图片这个软件原来没有这个可以选择,后来有人曝光了它会把自己的文件搞到搜索平台去公开,更新版本才搞了个选择出来,原来就是偷偷摸摸把用户的分享搞网络搜索平台上去,后面版本选择有了也不一定所有用户会注意到吧,自己操作的东西不知不觉就被公开出去了,有几个人想公开自己的文件?
现在偷偷摸摸上传用户cookie问题被曝光了马上就更新版本,看起来作者是本来就心里有数的吧,不心虚动作这么快!
可能许多人的确不在意自己的百度云别人可以进去逛,也不在意自己的超级会员被分享使用,更别说什么文件被分享到搜索平台去了,反正自己又不少一块肉。
使用第三方软件,就要自己承担作者技术问题带来的风险。楼主的分析软件的行为没问题,但是楼上有群人,典型的脱了裤子上炕,穿上裤子骂娘的主。自己用之前不想清楚,怪这个怪那个
怪不得前几天提示在浙江登陆。
卧槽....幸亏已经不用了
刚开始用过一段时间,之后就没用过了。
刚才还用了 不知道会怎么样
用这种东西就要有心理准备,反正百度的东西我只用网盘。弄好验证别被盗号就行了
一直用着呢 这有点吓人啊
还好没怎么用了。
果然还是论坛大佬的pandownlo....靠谱