谈谈有关南京市房管局网站被涂鸦的杯具
从来不对什么被黑事件进行评价的,今天破个例:http://dfwb.njnews.cn/html/2010-08/03/content_581396.htm
平时看到什么什么网站被黑的新闻,也见惯不惯了,从事网络安全也好久了,业内哪些是前辈,哪些是高手,哪些是牛人,基本上都了然于心的,于是剩下来的小打小闹,不想也没必要去评论。不过这次不同,第一,该站点我两年前拜访过;第二,这人还算是个老乡!
没有绝对安全的站点,无论什么网站。因为我在南京,所以对南京的站点比较关心,曾经也对南京大大小小的站点稍微检测了下,基本上无安全性可言。所谓njhouse,甚至不知道什么关系的house365,都是php+oracle,前者很容易,直接注入,然后admin进后台,然后....怎么怎么样shell到手了;后者虽然也有注入,但没这么容易,但有个问题,就是活动站点、分站点特别多,于是找出个有漏洞的非常非常的容易,然后,get一个webshell也应该是没有什么难度的。这些东西不谈了,都是陈年老事了...
我想说的第一点,现在的网站管理员每天在做什么,尤其是事业单位网站的这些管理员们。从我08年进去到现在也两年了,网站的注入依旧在,漏洞依旧在,我觉得这么简单的东西,两年了都没所谓的黑客进去过,应该不可能吧,只是没人去修改新闻或者首页文件吧!哪怕有一次被入侵的行为,没理由管理员不修复啊,为什么两年都没人修复呢,很奇怪!
我想说的第二点,现在的90后非主流们能不能别那么浮躁呢。早上地铁上看到新闻的时候,我还以为那啥网站真的被“黑”了呢,我想这个站拿shell不容易啊,现在的90后蛮强的嘛,10分钟就能搞定shell;后来才发现,只是涂鸦了一下首页而已,说白了:拿个工具跑注入点,跑到密码后登录后台,修改了下新闻或者文章,仅此而已。试问一下,这能叫“黑”么?我们现在做安全服务,还必须得在黑盒下拿到webshell呢,你shell没拿到也就算了,想涂鸦首页也没必要每个文章都更新一下啊!浮躁啊!不可否认,很多黑客学黑的时候,也用黑页换过别人的首页,但绝对没有换的这么凄凉的:修改文章...搞搞其他站也就算了,练手成长的过程,政府站也敢下手,难道对牢狱有莫名其妙的渴望?
我想说的第三点,现在的媒体能不能以事实说话呢。文章的有个章节的总结是“出版教程,他小有名气”,在业内这么久,出书的黑客也略知一二,盐城的有名黑客也略知一二,但愣是没听说有个盐城的出书黑客,好了,算我孤陋寡闻。接着看:“毕业于当地一所学校的信息系,现在是高级程序员,出版过几本黑客攻防教程,在圈子里小有名气。”在圈子里小有名气还是大有名气我这种消息闭塞的人就不知道了,但是作为一个出过N多黑客攻防教程的拥有高级程序员身份的知名黑客,进了后台居然拿不下webshell,那脸就丢大了。
原以为是个悲剧,没想到悲剧也有玩忽悠的,于是,杯具而已!
天朝就这么着 挺能白活
当看别人扯淡了