小红书P0级事故！可进入开发者模式看数据表

yaoyiqun513 · 发表于 2025-6-19 15:49

6.18当天，小红书APP被曝存在严重安全漏洞。多位网友在技术社区披露，用户只需在App“设置”页标题处连续点击6-10次，输入弱口令“xhsdev”即可进入隐藏的开发者模式。该模式不仅提供日志、抓包和网络代理开关，还直接暴露了数据库表结构、推荐算法参数、内部微服务域名及端口等高敏感信息，有部分程序员将其描述为“P0级事故”，称“从业9年还是第一次见。”

现在好像被热更新了

natt · 发表于 2025-6-19 15:56

这个厉害了嗷

anoza · 发表于 2025-6-19 16:00

今早看过进去了一下，感觉很多敏感信息退出来就卸载了
没想到这么大件事

—— 来自 vivo V2454A, Android 15, 鹅球 v3.5.99

嘿等等 · 发表于 2025-6-19 16:05

好像改了？

Realplayer · 发表于 2025-6-19 16:07

xhsdev

r_ex · 发表于 2025-6-19 16:10

我只有5个订单也算核心消费人群了

Milarvoz · 发表于 2025-6-19 16:19

刚试了一下还能进去。
syl，小时候买的好记星就可以通过点击设备信息页里三个特定的位置进入开发者后台，没想到这么多年了还有这么朴实无华的入口。

—— 来自 samsung SM-S9380, Android 15, 鹅球 v3.5.99

zerona · 发表于 2025-6-19 16:46

开发部门这是搞啥呢？另外这种连续按键多少下还得按字符的操作黑客会作脚本做测试吗？

Onelooker · 发表于 2025-6-19 16:50

程序员给运维留的彩蛋罢了

chachi · 发表于 2025-6-19 17:13

笑死居然不做账号白名单

----发送自 samsung SM-S9180,Android 15

什么面具人 · 发表于 2025-6-19 17:19

小红书vip是怎么算的

呀~~~呀嘿！ · 发表于 2025-6-19 17:21

草台班子队有力大将

mirari · 发表于 2025-6-19 17:23

这也没什么罕见的吧
某些bug开发预发环境都正常，就正式环境冒出来，或者别人账号都正常，就某个线上用户有问题。开发就得留个调试模式入口，修修正式版的bug。
流量不大的也懒得做什么防护措施。

坑就坑在小红书这个体量，这个调试入口传开以后产生的影响比较大。

chachi · 发表于 2025-6-19 17:29

某线上账号有问题更要加白名单了

----发送自 samsung SM-S9180,Android 15

soenghou001 · 发表于 2025-6-19 18:20

不如哔哩哔哩

还有测试用的0元装扮

最后附上几个测试账号
https://space.bilibili.com/29313802
https://space.bilibili.com/14135892

darkangel0224 · 发表于 2025-6-19 18:23

都是和不作恶学的：什么安卓系统连续点击版本号，进入开发者模式

佛剑分说 · 发表于 2025-6-19 18:39

神了

=w= · 发表于 2025-6-19 18:40

从业9年还是第一次见？认真的吗？

佛剑分说 · 发表于 2025-6-19 18:51

试了下，我的手机现在还能进

龍龖龘 · 发表于 2025-6-19 18:52

这不献祭一堆码农

圣龙火狐 · 发表于 2025-6-19 18:56

故意泄露的吧，抓抓抓

佛剑分说 · 发表于 2025-6-19 19:07

肯定已经很多商业机密泄露过了。等咱们普罗大众知道的时候，有价值的东西都被黑客看过几遍了

fat · 发表于 2025-6-19 20:14

输入xhsdev了，但是界面好像没有变化？

Rainwedell · 发表于 2025-6-19 20:15

弄这玩意的是觉得用户都试不出来是吧

—— 来自 Xiaomi 22041211AC, Android 14, 鹅球 v3.5.99-alpha

shanajiang · 发表于 2025-6-19 20:19

fat 发表于 2025-6-19 20:14
输入xhsdev了，但是界面好像没有变化？

应该是改了

黑羽零 · 发表于 2025-6-19 20:23

离职前程序员的报复？

dkswxd · 发表于 2025-6-20 08:59

惊了，太久没更新的版本还能看

—— 来自 Xiaomi 22041211AC, Android 14, 鹅球 v3.5.99

古畑任三郎2015 · 发表于 2025-6-20 09:21

果果的居然也能进，这下和安卓众生平等了

gnihton314 · 发表于 2025-6-20 09:24

古畑任三郎2015 发表于 2025-6-20 09:21
果果的居然也能进，这下和安卓众生平等了

不平等，gp版不能进

kk霖洞九 · 发表于 2025-6-20 10:20

加载失败，稍后再试
这是热更新了吗

苇原雪道 · 发表于 2025-6-20 11:41

这还真是经典的后门啊。。。

—— 来自 Xiaomi 24129PN74C, Android 15, 鹅球 v3.5.99

大暴死 · 发表于 2025-6-20 12:17

kk霖洞九发表于 2025-6-20 10:20
加载失败，稍后再试
这是热更新了吗

我试了也是这样，热更新求快可能是先把口令改了

—— 来自 Xiaomi 25019PNF3C, Android 15, 鹅球 v3.5.99

xxad · 发表于 2025-6-20 19:05

Milarvoz 发表于 2025-6-19 16:19
刚试了一下还能进去。
syl，小时候买的好记星就可以通过点击设备信息页里三个特定的位置进入开发者后台，没 ...

只要是安卓上的包括安卓本体，大点的程序肯定都留了调试后门，无非是进去的方法有没有流出来罢了

nekomimimode · 发表于 2025-6-20 21:30

没更新包体，接口还在加载失败了

斑驳的阴影 · 发表于 2025-6-21 07:50

现在还能点标题输口令不过开发者选项里面是空白

循此苦旅 · 发表于 2025-6-21 11:01

Rainwedell 发表于 2025-6-19 20:15
弄这玩意的是觉得用户都试不出来是吧

—— 来自 Xiaomi 22041211AC, Android 14, 鹅球 v3.5.99-alpha ...

这种应该是靠解包逆向发现的吧

		自动登录	找回密码
密码			立即注册

[软件] 小红书P0级事故！可进入开发者模式看数据表

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块