[摘要]动网论坛入侵之插件篇 本文为非技术文章,属搞笑网文,以博君一笑!------------------以下是一些废话,没兴趣的人直接看最后几段-----------关于动网论坛入侵的文章很多,由于对a...
动网论坛入侵之插件篇 本文为非技术文章,属搞笑网文,以博君一笑!------------------以下是一些废话,没兴趣的人直接看最后几段-----------关于动网论坛入侵的文章很多,由于对asp不感兴趣所以一直不曾尝试过做些什么,其实在各位的努力下动网的安全性已经提高了很多了,版本也已经发展到7.0.0 sp2了,入侵也不是那么简单了。下文通过动网一个比较常用的插件为入口….呵呵,我也有幸插一脚!
故事发生在公元前不久,公司内部论坛开了个什么宠物领养的功能,上至公司老总下到像我这样的草根层,都兴致勃勃,由于我不喜欢灌水,所以社区币很少,看着那些高等级的人,心里实是不爽,于是想找点另类的方法来提高等级,于是乎历史上多了这么段小插曲……
公司论坛装的是大名鼎鼎的DVBBS,上safechina.net搜了一把没发现在方面的内容,看来现在比以前是好很多了,不就是要社区币嘛嘛,从哪里来?一.发贴,二…..呵呵,银行啊!走抢银行去!!!论坛有个社区银行,说不定有突破呢!上dvbbs.net看了一下没有这功能,看来是第三方厂商的插件了(窃笑),看来希望大多了,惯性的找些有输入框的地方,先看到的是“事件”,原来是银行历史记录的查询,照例输入一个单引号’,呵呵,出错了:打印出:user=’’’ order by ID 没有过滤,输入1’ or user name like’%a% 结果正确。可惜是JET DB驱动,一般是ACCESS了,累,既然这么基本的输入过滤都没做,那么看来作者的安全意识不是很高了,反正我只要钱,不用这么累,找找有没能直接update的,抽烟ing….,呵呵,银行事务,存款,取款,转账,贷款每个测试一下,发现只有转账中的目标用户名能输入字符,其它都限制只能输入数字了,嘿嘿,这个功能肯定update用户的金钱,又是单引号’,又出错了,直觉告诉我能行了,于是转1块钱给 a’ or username=’b,提交….,错误信息,郁闷ing….,看看b用户,多了一块钱,a用户一分钱都没少(明白了吗?我的一块钱变成两块了,如果你多几个 or 就多更多了,其实它的语句就是update aa set money=money+xxx where username=’$username’),hahaha,五分钟后,我就拥有了500万!!呵呵,这可是我这辈子第一次抢银行啊(要不你还能活着在这废话),如果现实中我能有这么多钱该多好啊^_^
好了,我目的也达到了,要做别的什么的话也可能只是时间的问题,我没兴趣也没时间去做那些了,不过,我google了一下,发现用这个插件的BBS还真是不少,本来也想看看它源代码,但是找了半天没找到,所以我也不知道是谁开发的,也没法发什么BUG报告了,算了!希望没人做什么坏事吧!!----------------------------------------本文我所想说的------------------其实上面的都是些无聊的废话,任何一个知道SQL注入的人都能轻易做到,我想说的就是所谓的“系统安全”,其实系统安全是一个浩大的工程,从硬件到系统再到应用,任何一个环节出了问题,都可能导致全盘皆输(这就是所谓的木桶理论),正如许多讲述网络安全的书籍所说的:“无论你内部网络安全措施做得如何好,可能都顶不过一个用户的拨号。”呵呵,经典!这个例子中,硬件做得很好,系统也做得很好了,而且动网也做得很不错了,可是插件没有做好,所以整个系统都没做好!这不仅仅是管理员的问题,更是开发者的问题,其实这里也“验证”了一条网络安全“原则”:最少服务原则。有人说:开源需要勇气!我觉得,开源需要勇气,更需要责任!做系统,开发者不是写完一个程序,做完一个功能就可以了。你还要负起作为开发者的责任,也许在你的license中已经写得很清楚了:本人不对由于使用本系统而引起的任何问题负责。但是这不是你所应该做的,不是一名合格的程序员所应该做的,既然你做了,你就对这一切负有责任,即使别人的系统被毁了对你没影响,那么你也应该觉得羞愧,也应该在午夜梦回时感到惊心,因为这是你的责任。不仅仅开源系统,免费系统,你所做的任何事情都如此,不要说我不懂安全,不要说这不是我的特长,因为还有更多比你更不懂得安全的人,还有更多比你更不懂得计算机、不懂得网络的人们,在使用你所公布的东西。你不觉得你对这一切负有责任吗?文人中都有”文责自负”的说法,他们能对自己所写的那些虚无缥缈的东西担负起自己的责任,但是作为一个开发人员,一个程序员为什么对自己生产的看得见,摸得着的东西说与本人无关呢?这绝不是我们应该做的!醒醒吧!!做一个能把信送给加西亚的人(《致加西亚的一封信》)回头看看,不知不觉没想到上文竟成了关于责任的说教了,其实作为一个有独立人格的人就应该做到这些,应该对自己的行为负责,这也是我最近感触深刻的东西,也许你做一个BBS并不会给使用者带来什么灾难性后果,换个角度想想,如果你做的是一个事关企业生存攸关的核心业务系统呢?比如电信计费、生产控制、更甚于导弹发射系统呢?不要告诉我你到时候会做得更好,我不相信,也没人会相信的!从小事做起,从现在做起(别说我土),做个对自己,对自己的程序,自己的行为负责的人。做一个能把信送给加西亚的人!!
Hjleochen
2004-6-10FZ FuJian
_____________________________
后:这篇短文写了很久了,一直没想要贴出来,那段时间我写的代码出了很多问题,非常郁闷,由感而发,以警示自己。
@Copyright All Reserved By hjleochen 2000-2004
hjleochen@hotmail.com
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:动网论坛入侵之插件篇