本文爲非技術文章,屬搞笑網文,以博君一笑!
------------------以下是一些廢話,沒興趣的人直接看最後幾段-----------
版權聲明:可以任意轉載,轉載時請務必標明文章原始出處、作者及本聲明http://www.upulife.com
關於動網論壇入侵的文章很多,由於對asp不感興趣所以一直不曾嘗試過做些什麼,其實在各位的努力下動網的安全性已經提高了很多了,版本也已經發展到7.0.0 sp2了,入侵也不是那麼簡單了。下文通過動網一個比較常用的插件爲入口….呵呵,我也有幸插一腳!
故事發生在公元前不久,公司內部論壇開了個什麼寵物領養的功能,上至公司老總下到像我這樣的草根層,都興致勃勃,由於我不喜歡灌水,所以社區幣很少,看着那些高等級的人,心裏實是不爽,於是想找點另類的方法來提高等級,於是乎歷史上多了這麼段小插曲……
公司論壇裝的是大名鼎鼎的DVBBS,上safechina.net搜了一把沒發現在方面的內容,看來現在比以前是好很多了,不就是要社區幣嘛嘛,從哪裏來?一.發貼,二…..呵呵,銀行啊!走搶銀行去!!!論壇有個社區銀行,說不定有突破呢!上dvbbs.net看了一下沒有這功能,看來是第三方廠商的插件了(竊笑),看來希望大多了,慣性的找些有輸入框的地方,先看到的是“事件”,原來是銀行歷史記錄的查詢,照例輸入一個單引號’,呵呵,出錯了:打印出:user=’’’ order by ID 沒有過濾,輸入1’ or user name like’%a% 結果正確。可惜是JET DB驅動,一般是ACCESS了,累,既然這麼基本的輸入過濾都沒做,那麼看來作者的安全意識不是很高了,反正我只要錢,不用這麼累,找找有沒能直接update的,抽菸ing….,呵呵,銀行事務,存款,取款,轉賬,貸款每個測試一下,發現只有轉賬中的目標用戶名能輸入字符,其它都限制只能輸入數字了,嘿嘿,這個功能肯定update用戶的金錢,又是單引號’,又出錯了,直覺告訴我能行了,於是轉1塊錢給 a’ or username=’b,提交….,錯誤信息,鬱悶ing….,看看b用戶,多了一塊錢,a用戶一分錢都沒少(明白了嗎?我的一塊錢變成兩塊了,如果你多幾個 or 就多更多了,其實它的語句就是update aa set money=money+xxx where username=’$username’),hahaha,五分鐘後,我就擁有了500萬!!呵呵,這可是我這輩子第一次搶銀行啊(要不你還能活着在這廢話),如果現實中我能有這麼多錢該多好啊^_^
好了,我目的也達到了,要做別的什麼的話也可能只是時間的問題,我沒興趣也沒時間去做那些了,不過,我google了一下,發現用這個插件的BBS還真是不少,本來也想看看它源代碼,但是找了半天沒找到,所以我也不知道是誰開發的,也沒法發什麼BUG報告了,算了!希望沒人做什麼壞事吧!!
----------------------------------------本文我所想說的------------------
其實上面的都是些無聊的廢話,任何一個知道SQL注入的人都能輕易做到,我想說的就是所謂的“系統安全”,其實系統安全是一個浩大的工程,從硬件到系統再到應用,任何一個環節出了問題,都可能導致全盤皆輸(這就是所謂的木桶理論),正如許多講述網絡安全的書籍所說的:“無論你內部網絡安全措施做得如何好,可能都頂不過一個用戶的撥號。”呵呵,經典!這個例子中,硬件做得很好,系統也做得很好了,而且動網也做得很不錯了,可是插件沒有做好,所以整個系統都沒做好!這不僅僅是管理員的問題,更是開發者的問題,其實這裏也“驗證”了一條網絡安全“原則”:最少服務原則。
有人說:開源需要勇氣!
我覺得,開源需要勇氣,更需要責任!做系統,開發者不是寫完一個程序,做完一個功能就可以了。你還要負起作爲開發者的責任,也許在你的license中已經寫得很清楚了:本人不對由於使用本系統而引起的任何問題負責。但是這不是你所應該做的,不是一名合格的程序員所應該做的,既然你做了,你就對這一切負有責任,即使別人的系統被毀了對你沒影響,那麼你也應該覺得羞愧,也應該在午夜夢迴時感到驚心,因爲這是你的責任。
不僅僅開源系統,免費系統,你所做的任何事情都如此,不要說我不懂安全,不要說這不是我的特長,因爲還有更多比你更不懂得安全的人,還有更多比你更不懂得計算機、不懂得網絡的人們,在使用你所公佈的東西。你不覺得你對這一切負有責任嗎?文人中都有”文責自負”的說法,他們能對自己所寫的那些虛無縹緲的東西擔負起自己的責任,但是作爲一個開發人員,一個程序員爲什麼對自己生產的看得見,摸得着的東西說與本人無關呢?這絕不是我們應該做的!醒醒吧!!做一個能把信送給加西亞的人(《致加西亞的一封信》)
回頭看看,不知不覺沒想到上文竟成了關於責任的說教了,其實作爲一個有獨立人格的人就應該做到這些,應該對自己的行爲負責,這也是我最近感觸深刻的東西,也許你做一個BBS並不會給使用者帶來什麼災難性後果,換個角度想想,如果你做的是一個事關企業生存攸關的核心業務系統呢?比如電信計費、生產控制、更甚於導彈發射系統呢?不要告訴我你到時候會做得更好,我不相信,也沒人會相信的!
從小事做起,從現在做起(別說我土),做個對自己,對自己的程序,自己的行爲負責的人。
做一個能把信送給加西亞的人!!
Hjleochen
2004-6-10
_____________________________
後:這篇短文寫了很久了,一直沒想要貼出來,那段時間我寫的代碼出了很多問題,非常鬱悶,由感而發,以警示自己。
@Copyright All Reserved By CFNET 2000-2004