不要把博客变成江湖

Blog&＃xff0c;本来是网友们用来表达心声&＃xff0c;记录经验&＃xff0c;生活的地方&＃xff0c;然而在这个风起云涌的时代里&＃xff0c;Blog却成了江湖&＃xff0c;一个血雨腥风的战场。

仇恨在这里萌芽&＃xff0c;血液在这里沸腾&＃xff0c;甚至战争也在这里爆发。

今天潜水去半瓶醋的博客&＃xff0c;本想看看他的Flash版金庸4有没有消息&＃xff08;我承认&＃xff0c;我是想拿里面的金庸人物素材&＃xff09;&＃xff0c;我却猛然发现到一个访问量400多万的博客已经完蛋了。

摘抄一段半瓶醋和入侵者的对骂……

笔者又潜水去CSDN上的罗庄Blog&＃xff0c;想看看有没有什么新的galgame的信息&＃xff0c;我却赫然发现到他这个访问量100多万的部落格也被攻破了……

从罗庄提到密码和邮箱被人盗取看&＃xff0c;很可能是邮箱被人以某种方法获得后用合法手段改写了CSDN的密码。&＃xff08;PS:说句题外话&＃xff0c;这种情况你完全可以请求CSDN管理组处理&＃xff0c;总体上看CSDN还是挺负责的。&＃xff09;

然后就“杯具”了&＃xff0c;入侵者在罗庄博客上发表了反对声明&＃xff0c;他“自己”和自己打了起来……|||

  就笔者看来&＃xff0c;这种直接破坏对方博客来达到报复的手段&＃xff0c;无论最初起因为何&＃xff0c;也是非常蛮横野蛮的。

  所谓“放荡功不遂&＃xff0c;满盈身必灾”、“虚己者进德之基”&＃xff0c;非暴力引发的事情&＃xff0c;最好还是非暴力解决&＃xff0c;不管是非曲直如何&＃xff0c;有事说事&＃xff0c;有理讲理&＃xff0c;他们也没黑你&＃xff0c;就不要武斗动手&＃xff0c;文斗也动手。

  搞IT嘛&＃xff0c;就应该“唯实、求活、尚简”&＃xff0c;不要把网络上的恩怨看得太重&＃xff0c;毕竟网上的东西再好&＃xff0c;利益再大&＃xff0c;也是正经八百的“生不带来&＃xff0c;死不带去”&＃xff0c;何必为一些小事搞得自己和古惑仔一样&＃xff0c;就算你真是古惑仔&＃xff0c;没看牛佬也要给浩南、山鸡收皮了嘛……

  做技术这行&＃xff0c;在网上其实有很多事情可以干&＃xff0c;觉得自己技术不好的&＃xff0c;可以去易语言论坛之类的站点找找自信&＃xff08;不过易论坛已经逐渐被架空&＃xff0c;现在有些表面上聊易的&＃xff0c;实际上是在玩C/C&＃43;&＃43;和汇编……&＃xff09;&＃xff1b;觉得自己技术太好的&＃xff0c;可以去看雪论坛之类的站点找找挫折感&＃xff1b;觉得干 IT太无聊的&＃xff0c;可以去GameRes VB区翻翻教主、MIU.C、instemast之流的斗嘴贴&＃xff1b;向左的归铁血&＃xff0c;向右的归猫眼&＃xff0c;中间的去偷菜。总之&＃xff0c;能玩的事情很多&＃xff0c;何苦要当骇客&＃xff1f;当骇客又得不到任何现实利益&＃xff0c;就更不应该了&＃xff0c;好歹也去黑个大户……

  废话说完了&＃xff0c;本着“亡羊补牢&＃xff0c;治病救人”的精神&＃xff0c;笔者在此罗列出几种可能令骇客获取博客或邮箱用户权限的方法&＃xff0c;仅供参考。

1、暴力破解:
  相对网银系统来说&＃xff0c;大多数博客系统都没有很好的自我保护能力&＃xff08;比如重复登陆多少次都行&＃xff0c;权限设置的也很随意&＃xff09;&＃xff0c;因此只要被人知道了你的用户帐号&＃xff0c;再写个OCR识别程序过验证码&＃xff0c;遍历密码尝试登录&＃xff0c;你也就离死不远了。
  在网速够快的情况下&＃xff0c;暴力破解博客、邮箱帐户与暴力破解本机程序并没什么区别&＃xff0c;只要你不换帐户&＃xff0c;对方就总有一天能算出正确的密码。
  要解决这个问题&＃xff0c;首要前提是不泄露自己帐号&＃xff0c;而万一帐户被别人知道后却又无法更改&＃xff0c;那就只能勤换密码&＃xff0c;并尽可能将密码加长&＃xff0c;使用特殊字符加以混淆。假如你设定有32位以上的混淆密码&＃xff0c;并且能保证一周左右就更换一次的话&＃xff0c;除非对方是超级计算机拥有者&＃xff0c;或者为了对付你创建了相当程度的计算机集群&＃xff08;比如控制一堆肉鸡大家一块算&＃xff09;&＃xff0c;暴力破解将几乎不可能做到。     

2、COOKIEs欺骗:
  大家都很清楚&＃xff0c;COOKIEs是网站为了辨别用户身份而储存在用户本地终端上的数据。通常情况下&＃xff0c;我们可以保留一些基本的用户信息或访问数据在COOKIEs中&＃xff0c;以避免用户再次访问时重复操作&＃xff0c;提升用户体验。
  但凡事有利就有弊&＃xff0c;COOKIEs也不例外。
  在某些安全系数不高的网站系统中&＃xff0c;COOKIEs就经常被滥用&＃xff0c;甚至会直接采取COOKIEs数据来检查用户权限&＃xff0c;这就是最要命的问题所在。要知道COOKIEs中的数据是100%可以伪造出来的&＃xff0c;一旦博客、邮箱系统的建设者们做出脑残举动&＃xff0c;比如网站很悲剧的在COOKIEs中弄出个status来验证权限&＃xff0c;而对方又伪造出status&＃61;admin的话……你不死&＃xff0c;这世上就没人死了……
  另外就算没有这些“脑残级”的错误&＃xff0c;COOKIEs中或多或少也会保留些隐秘的用户数据&＃xff0c;只要对方想办法截获了你的COOKIEs文件本身&＃xff0c;一样能够轻易的将其“模拟再现”。  
  要解决这种问题&＃xff0c;只能修正网站的“脑残”代码设置&＃xff0c;减少不必要的COOKIEs权限&＃xff0c;并及时清空自己的COOKIEs文件。如果你正在使用第三方站点为博客、邮箱的话&＃xff0c;那就只好与网站管理人联系处理&＃xff0c;或者干脆放弃该站&＃xff0c;搬家算了。

3、SQL注入:
   自从笔者第一天接触SQL&＃xff0c;就被人反复叮咛过SQL注入的严重后果&＃xff0c;这是一种最不应该出现&＃xff0c;却又最容易出现的安全漏洞。世界上所有支持SQL指令的数据库系统和网站&＃xff0c;都有可能被人利用SQL语句进行注入攻击。
   比如某个网站的登录验证的SQL查询代码为String sql &＃61; "SELECT * FROM users WHERE (name &＃61; &＃39;" &＃43; userName &＃43; "&＃39;) and (pw &＃61; &＃39;"&＃43; passWord &＃43;"&＃39;);"&＃xff0c;那么当有人在登录框恶意填入userName &＃61; "&＃39; OR &＃39;1&＃39;&＃61;&＃39;1";与passWord &＃61; "&＃39; OR &＃39;1&＃39;&＃61;&＃39;1";时&＃xff0c;将导致原本的SQL字符串被填为String sql &＃61; "SELECT * FROM users WHERE (name &＃61; &＃39;&＃39; OR &＃39;1&＃39;&＃61;&＃39;1&＃39;) and (pw &＃61; &＃39;&＃39; OR &＃39;1&＃39;&＃61;&＃39;1&＃39;);"&＃xff0c;也就是无论怎么运行结果都为存在该用户和密码&＃xff0c;此时就算他一无帐户&＃xff0c;二无密码&＃xff0c;也可以照常登录网站。     
   上面所举的例子还是最轻的&＃xff0c;也是最容易防范的&＃xff0c;实际上此类手段还有N多。
   一旦网站在SQL语句代码上出现纰漏&＃xff0c;那么轻者用户受损&＃xff0c;博客、邮箱等被人以盗用&＃xff1b;重者对方将借此获取到更高权限&＃xff0c;譬如查询数据表结构&＃xff0c;查询网站管理员密码&＃xff0c;发布信息、删除数据、清空数据&＃xff0c;格式化硬盘&＃xff08;比如SqlServer中执行个xp_cmdshell "FORMAT C:/"&＃xff09;&＃xff0c;甚至给你弄点“不利于稳定”的话题&＃xff0c;搞得你整个网站一起玩完。
   再有&＃xff0c;即便你的系统本身没有受到SQL注入影响&＃xff0c;却显示出了相关的异常页面&＃xff08;比如暴露出数据库所在&＃xff0c;或者相关表名&＃xff0c;页面位置等等&＃xff09;&＃xff0c;也很可能会被对付你的家伙所利用&＃xff0c;进行下一步的深入攻击。  
   要解决此类问题&＃xff0c;只能严把代码质量关&＃xff0c;并绝对不外露异常&＃xff0c;不给对方以可乘之机。如果你在使用各大门户提供的博客、邮箱时发现了这种问题&＃xff0c;完全可以向他们反映&＃xff0c;通常会最优先解决——就算不管你&＃xff0c;他们自己也是要命的……

4、XSS:
   近年来开始流行&＃xff0c;和SQL注入有异曲同工之妙的XSS&＃xff0c;本名Cross Site Script&＃xff0c;为了与CSS(Cascading Style Sheets)区别&＃xff0c;才称XSS。XSS的恶意攻击者往往向Web页面里恶意插入特殊的html代码&＃xff0c;当用户浏览该页之时&＃xff0c;嵌入其中Web里面的html代码会被执行&＃xff0c;从而达到注入式攻击。比如使用者可以做一个网页&＃xff0c;用Javascript把document.COOKIE当成参数丢过去&＃xff0c;再将它记录下来&＃xff0c;就可以去玩COOKIEs欺骗了……
  在XSS中常见的攻击方法有偷COOKIE&＃xff0c;引导用户运行特殊页面&＃xff0c;利用iframe或frame存取管理页面或后台页面&＃xff0c;利用XMLHttpRequest存取管理页面或后台页面等数种之多。当XSS与其他攻击方式混合使用时&＃xff0c;其杀伤力将更大。
  预防方法与SQL注入类似&＃xff0c;严把HTML和Javascript语法关&＃xff0c;让攻击者无漏洞可钻。不过呢&＃xff0c;所谓道高一尺魔高一丈&＃xff0c;有些时候真是防不胜防……

5、木马植入:
   没什么可说的&＃xff0c;一旦你的计算机&＃xff0c;或者你所在门户、邮箱的服务器被人植入了木马&＃xff0c;并取得相关权限&＃xff0c;在清除该木马前&＃xff0c;你除了等死或者搬家&＃xff0c;就再也找不出第二条通路。
   具体中招过程千变万化&＃xff0c;可能因为你下载了某个游戏&＃xff0c;可能因为你打开了某个文档&＃xff0c;可能因为你浏览了某个网站&＃xff0c;可能因为你同QQ上某人聊天&＃xff0c;甚至可能因为你浏览了某张图片。还有一点很难预防&＃xff0c;国际上大约10%的木马开源……
   解决方法&＃xff0c;增强个人素养&＃xff0c;远离不良信息|||&＃xff0c;保证服务器安全&＃xff0c;及时查杀木马。  

6、网站内鬼:
   都是干IT这行的&＃xff0c;不讨论&＃xff0c;不解释&＃xff0c;此问题只能向网站更高层反映&＃xff0c;或者搬家&＃xff0c;否则绝对无解。

有人的地方&＃xff0c;就有江湖。有江湖的地方&＃xff0c;就有恩怨。然而&＃xff0c;恩怨却是现实中的事情&＃xff0c;不要带入网络这个虚拟的世界为好些。

写到这里&＃xff0c;忽然想起了罗文的《走我路》&＃xff0c;就用它作为结束语吧&＃xff01;

无怨无悔我走我路
走不尽天涯路
在风云中你追我逐
恩怨由谁来结束

什么时候天地变成江湖
每一步风起云涌
什么时候流泪不如流血
每个人也自称英雄

什么是黑白分明
是是非非谁能回头
怕什么刀光剑影
把风花雪月留在心中

无怨无悔我走我路
走不尽天涯路
人在江湖却潇洒自如
因为我不在乎

无怨无悔我走我路
走不尽天涯路
在风云之中你追我逐
恩怨由谁来结束