小红书P0级事故!可进入开发者模式看数据表
6.18当天,小红书APP被曝存在严重安全漏洞。多位网友在技术社区披露,用户只需在App“设置”页标题处连续点击6-10次,输入弱口令“xhsdev”即可进入隐藏的开发者模式。该模式不仅提供日志、抓包和网络代理开关,还直接暴露了数据库表结构、推荐算法参数、内部微服务域名及端口等高敏感信息,有部分程序员将其描述为“P0级事故”,称“从业9年还是第一次见。”现在好像被热更新了
这个厉害了嗷 今早看过进去了一下,感觉很多敏感信息退出来就卸载了
没想到这么大件事
—— 来自 vivo V2454A, Android 15, 鹅球 v3.5.99 好像改了? xhsdev 我只有5个订单也算核心消费人群了 刚试了一下还能进去。
syl,小时候买的好记星就可以通过点击设备信息页里三个特定的位置进入开发者后台,没想到这么多年了还有这么朴实无华的入口。
—— 来自 samsung SM-S9380, Android 15, 鹅球 v3.5.99 开发部门这是搞啥呢?另外这种连续按键多少下还得按字符的操作黑客会作脚本做测试吗? 程序员给运维留的彩蛋罢了 笑死居然不做账号白名单
----发送自 samsung SM-S9180,Android 15 小红书vip是怎么算的 草台班子队有力大将
这也没什么罕见的吧
某些bug开发预发环境都正常,就正式环境冒出来,或者别人账号都正常,就某个线上用户有问题。开发就得留个调试模式入口,修修正式版的bug。
流量不大的也懒得做什么防护措施。
坑就坑在小红书这个体量,这个调试入口传开以后产生的影响比较大。 某线上账号有问题更要加白名单了
----发送自 samsung SM-S9180,Android 15 不如哔哩哔哩
还有测试用的0元装扮
最后附上几个测试账号
https://space.bilibili.com/29313802
https://space.bilibili.com/14135892 都是和不作恶学的:什么安卓系统连续点击版本号,进入开发者模式 神了 从业9年还是第一次见?认真的吗? 试了下,我的手机现在还能进 这不献祭一堆码农 故意泄露的吧,抓抓抓 肯定已经很多商业机密泄露过了。等咱们普罗大众知道的时候,有价值的东西都被黑客看过几遍了 输入xhsdev了,但是界面好像没有变化? 弄这玩意的是觉得用户都试不出来是吧
—— 来自 Xiaomi 22041211AC, Android 14, 鹅球 v3.5.99-alpha fat 发表于 2025-6-19 20:14
输入xhsdev了,但是界面好像没有变化?
应该是改了 离职前程序员的报复? 惊了,太久没更新的版本还能看
https://p.sda1.dev/25/fe6053ee3b7bcbeb26631a9d893f01c9/image.jpg
—— 来自 Xiaomi 22041211AC, Android 14, 鹅球 v3.5.99 果果的居然也能进,这下和安卓众生平等了
古畑任三郎2015 发表于 2025-6-20 09:21
果果的居然也能进,这下和安卓众生平等了
不平等,gp版不能进 加载失败,稍后再试
这是热更新了吗 这还真是经典的后门啊。。。
—— 来自 Xiaomi 24129PN74C, Android 15, 鹅球 v3.5.99 kk霖洞九 发表于 2025-6-20 10:20
加载失败,稍后再试
这是热更新了吗
我试了也是这样,热更新求快可能是先把口令改了
—— 来自 Xiaomi 25019PNF3C, Android 15, 鹅球 v3.5.99 Milarvoz 发表于 2025-6-19 16:19
刚试了一下还能进去。
syl,小时候买的好记星就可以通过点击设备信息页里三个特定的位置进入开发者后台,没 ...
只要是安卓上的包括安卓本体,大点的程序肯定都留了调试后门,无非是进去的方法有没有流出来罢了 没更新包体,接口还在 加载失败了 现在还能点标题输口令不过开发者选项里面是空白 Rainwedell 发表于 2025-6-19 20:15
弄这玩意的是觉得用户都试不出来是吧
—— 来自 Xiaomi 22041211AC, Android 14, 鹅球 v3.5.99-alpha ...
这种应该是靠解包逆向发现的吧
页:
[1]