黑客發現 MangaDex 網站存在安全漏洞，導致網站下線

一名網絡攻擊者嘲諷該網站存在公開的安全漏洞，并提示對代碼進行審查。

漫畫在線資料庫MangaDex將關閉，直到黑客事件發生后另行通知。

上周，該站點報告說，一名網絡攻擊者“通過重復使用舊數據庫漏洞中發現的會話令牌，通過錯誤的會話管理配置”獲得了對管理帳戶的訪問權限。

在通過清除全球所有會話來補救問題之后，該網站的構建者查看了運行MangaDex的代碼，試圖修補在運行過程中遇到的任何漏洞。但是，在進行代碼審查的同時，相同的對手隨后又可以訪問MangaDex的一個開發人員帳戶，從而竊取了該網站的版本3源代碼。根據MangaDex的說法，攻擊者的動機可能是對網站造成“最大程度的破壞”。

該網站宣布：“盡管攻擊者獲得了通常在普通用戶上下文中不可見的信息的訪問權限，但我們仍無法確認主機受到了完全破壞或最新的數據庫違規行為，”該網站宣布。“作為用戶，我們鼓勵您假設自己的數據已被泄露，并立即采取預防措施，例如更改任何可能與MangaDex帳戶共享相同密碼的帳戶的密碼。作為一種良好的安全慣例，強烈建議您使用密碼管理器來確保您的在線身份安全。”

多個站點漏洞

攻擊者還利用代碼庫中的安全漏洞來嘲諷站點的運營商，這是MangaDex下線的主要原因。

根據周日發布的網站通知，“攻擊者已經更新了包含源代碼泄漏的git存儲庫，聲稱我們已成功修補了三個可能的CVE中的兩個。” “沒有任何方法可以確認索賠，我們假設是最壞的情況，并讓該站點繼續進行進一步調查。”

由志愿者運行的MangaDex計劃花一些時間來完成基于源代碼第五版的站點重寫。據估計，這可能需要長達三周的時間。

MangaDex計劃在第5版的基本功能準備就緒后上線，以加快返回速度：即，允許讀者閱讀和關注漫畫標題，并允許小組上載漫畫的“掃描圖”。

“我們沒有保留可能存在漏洞的網站，并浪費了我們的時間和精力，不斷遭受從[分布式拒絕服務] DDoS到黑客的不斷攻擊，我們決定借此機會重新調整重點并加快計劃中的改寫工作。該網站”，根據通知。“但是，與我們最初的計劃相反，我們將在準備好最低限度的基本功能后立即啟動此v.5。”

同時，該網站邀請了道德黑客來幫助他們在代碼庫中找到攻擊者聲稱的安全漏洞以及任何其他漏洞。

潛在的漏洞賞金計劃

雖然MangaDex目前依靠志愿者來發現和糾正安全漏洞-該網站稱這些助手已經發現了“大量”的漏洞-一項更正式的計劃可能正在醞釀中。

通知稱：“我們仍然對泄漏的v.3源代碼中發現的漏洞的任何建議或負責任的披露持開放態度。” “盡管我們在撰寫本文時發現了許多內容，并且已對其中的大部分進行了修補，但我們感謝您為幫助我們找到更多內容所做的所有嘗試。”

此外，它說，一旦新站點上線，它可能會為發現物實施賞金。

“我們真誠地打算改善現有和未來基礎架構的安全性，盡管我們的一些開發人員在安全領域有豐富的經驗，但我們決定擁有某種形式的針對v.5的漏洞懸賞計劃只會證明是對通知有利。” 作為支持，我們打算根據所報告錯誤的嚴重性考慮支付。更多細節將在不久的將來發布。”