动网论坛入侵之插件篇 本文为非技术文章,属搞笑网文,以博君一笑! ------------------以下是一些废话,没兴趣的人直接看最后几段----------- 关于动网论坛入侵的文章很多,由于对asp不感兴趣所以一直不曾尝试过做些什么,其实在各位的努力下动网的安全性已提高了很多了,版本也已发展到7.0.0 sp2了,入侵也不是那么简单了。下文通过动网一个比较常用的插件为入口….呵呵,我也有幸插一脚!
故事发生在公元前不久,公司内部论坛开了个什么宠物领养的功能,上至公司老总下到像我这样的草根层,都兴致勃勃,由于我不喜欢灌水,所以社区币很少,看着那些高等级的人,心里实是不爽,于是想找点另类的方法来提高等级,于是乎历史上多了这么段小插曲……
公司论坛装的是大名鼎鼎的DVBBS,上safechina.net搜了一把没发现在方面的内容,看来现在比以前是好很多了,不就是要社区币嘛嘛,从哪里来?一.发贴,二…..呵呵,银行啊!走抢银行去!!!论坛有个社区银行,说不定有突破呢!上dvbbs.net看了一下没有这功能,看来是第三方厂商的插件了(窃笑),看来希望大多了,惯性的找些有输入框的地方,先看到的是“事件”,原来是银行历史记录的查询,照例输入一个单引号’,呵呵,出错了:打印出:user=’’’ order by ID 没有过滤,输入1’ or user name like’%a% 结果正确。可惜是JET DB驱动,一般是ACCESS了,累,既然这么基本的输入过滤都没做,那么看来作者的安全意识不是很高了,反正我只要钱,不用这么累,找找有没能直接update的,抽烟ing….,呵呵,银行事务,存款,取款,转账,贷款每个测试一下,发现只有转账中的目标用户名能输入字符,其他都限制只能输入数字了,嘿嘿,这个功能肯定update用户的金钱,又是单引号’,又出错了,直觉告诉我能行了,于是转1块钱给 a’ or username=’b,提交….,错误信息,郁闷ing….,看看b用户,多了一块钱,a用户一分钱都没少(明白了吗?我的一块钱变成两块了,假如您多几个 or 就多更多了,其实他的语句就是update aa set money=money xxx where username=’$username’),hahaha,五分钟后,我就拥有了500万!!呵呵,这可是我这辈子第一次抢银行啊(要不您还能活着在这废话),假如现实中我能有这么多钱该多好啊^_^
好了,我目的也达到了,要做别的什么的话也可能只是时间的问题,我没兴趣也没时间去做那些了,但是,我google了一下,发现用这个插件的BBS还真是不少,本来也想看看他源代码,但是找了半天没找到,所以我也不知道是谁研发的,也没法发什么BUG报告了,算了!希望没人做什么坏事吧!! ----------------------------------------本文我所想说的------------------ 其实上面的都是些无聊的废话,任何一个知道SQL注入的人都能轻易做到,我想说的就是所谓的“系统安全”,其实系统安全是个浩大的工程,从硬件到系统再到应用,任何一个环节出了问题,都可能导致全盘皆输(这就是所谓的木桶理论),正如许多讲述网络安全的书籍所说的:“无论您内部网络安全措施做得如何好,可能都顶但是个用户的拨号。”呵呵,经典!这个例子中,硬件做得很好,系统也做得很好了,而且动网也做得很不错了,可是插件没有做好,所以整个系统都没做好!这不但仅是管理员的问题,更是研发者的问题,其实这里也“验证”了一条网络安全“原则”:最少服务原则。 有人说:开源需要勇气! 我觉得,开源需要勇气,更需要责任!做系统,研发者不是写完一个程式,做完一个功能就能够了。您还要负起作为研发者的责任,也许在您的license中已写得很清楚了:本人不对由于使用本系统而引起的任何问题负责。但是这不是您所应该做的,不是一名合格的程式员所应该做的,既然您做了,您就对这一切负有责任,即使别人的系统被毁了对您没影响,那么您也应该觉得羞愧,也应该在午夜梦回时感到惊心,因为这是您的责任。 不但仅开源系统,免费系统,您所做的任何事情都如此,不要说我不懂安全,不要说这不是我的特长,因为更有更多比您更不懂得安全的人,更有更多比您更不懂得电脑、不懂得网络的人们,在使用您所公开的东西。您不觉得您对这一切负有责任吗?文人中都有”文责自负”的说法,他们能对自己所写的那些虚无缥缈的东西担负起自己的责任,但是作为一个研发人员,一个程式员为什么对自己生产的看得见,摸得着的东西说和本人无关呢?这绝不是我们应该做的!醒醒吧!!做一个能把信送给加西亚的人(《致加西亚的一封信》) 回头看看,不知不觉没想到上文竟成了关于责任的说教了,其实作为一个有单独人格的人就应该做到这些,应该对自己的行为负责,这也是我最近感触深刻的东西,也许您做一个BBS并不会给使用者带来什么灾难性后果,换个角度想想,假如您做的是个事关企业生存攸关的核心业务系统呢?比如电信计费、生产控制、更甚于导弹发射系统呢?不要告诉我您到时候会做得更好,我不相信,也没人会相信的! 从小事做起,从现在做起(别说我土),做个对自己,对自己的程式,自己的行为负责的人。 做一个能把信送给加西亚的人!!
Hjleochen
2004-6-10FZ FuJian
_____________________________
后:这篇短文写了很久了,一直没想要贴出来,那段时间我写的代码出了很多问题,很郁闷,由感而发,以警示自己。
@Copyright All Reserved By hjleochen 2000-2004
hjleochen@hotmail.com
