6.18當(dāng)天，小紅書APP被曝存在嚴(yán)重安全漏洞。多位網(wǎng)友在技術(shù)社區(qū)披露，用戶只需在App“設(shè)置”頁標(biāo)題處連續(xù)點擊6-10次，輸入弱口令“xhsdev”即可進(jìn)入隱藏的開發(fā)者模式。該模式不僅提供日志、抓包和網(wǎng)絡(luò)代理開關(guān)，還直接暴露了數(shù)據(jù)庫表結(jié)構(gòu)、推薦算法參數(shù)、內(nèi)部微服務(wù)域名及端口等高敏感信息，有部分程序員將其描述為“P0級事故”，稱“從業(yè)9年還是第一次見。”

　　這次事故有多嚴(yán)重？這就好比一輛汽車，普通用戶只能開它。但“開發(fā)者模式”就像是把汽車的引擎蓋打開，還把維修工具箱和行車電腦的密碼都給你了，等于把小紅書底褲給扒了，平臺“自行開盒。這本來是給小紅書自己內(nèi)部的技術(shù)人員（程序員、測試員）在App正式上線前調(diào)試、找問題用的工具。現(xiàn)在直接暴露在普通用戶面前，懂技術(shù)的人（比如黑灰產(chǎn)、黑客和大數(shù)據(jù)從業(yè)者）可以輕易地利用這個模式，像拆解玩具一樣研究小紅書的內(nèi)部運(yùn)作，找到安全上的漏洞。

　　圖：注意看上圖中“人群信息”標(biāo)記，用戶數(shù)據(jù)打點全暴露了。

　　
小紅書內(nèi)部架構(gòu)和開發(fā)開發(fā)模式功能列表完整展示出來（圖自網(wǎng)友）

　　事故發(fā)生后，有博主第一時間給平臺反映漏洞。但直到昨晚11點，圈哥發(fā)現(xiàn)有用戶親測反饋，仍能輕松進(jìn)入開發(fā)者模式。

　　盡管小紅書官方未立即發(fā)布事故原因，但技術(shù)分析認(rèn)為這次極有可能是低級人為失誤造成的。開發(fā)環(huán)境的代碼或配置泄露到了生產(chǎn)環(huán)境，比如寫代碼時把環(huán)境配置搞錯了！線上生產(chǎn)環(huán)境也開啟了開發(fā)者工具。就像廚師在后廚做菜，不小心把做菜的工具端到客人面前，概率極低。這次不會再讓實習(xí)生背鍋吧？

　　此次漏洞雖然未對c端用戶造成直接影響，但算法權(quán)重與風(fēng)控邏輯泄露，刷量及廣告作弊成本驟降；用戶隱私面臨間接威脅，抓包界面可能截獲明文請求；合規(guī)層面違反《個人信息保護(hù)法》中“最小必要”原則，存在監(jiān)管合規(guī)漏洞。

　　不搞618大促的小紅書，卻在618這天如此吸睛，實屬有點無厘頭了。（完）