16
九/081
九/081
什么是流氓黑客
今天看到一个站点公然写着:本站长期招聘网站入侵者。又在某自称国内最大黑客站点上,依我看就是一堆没素质的菜鸟聚集地,看到某“牛人”公开视频演讲,说自己已经有房有车有女人,殊不知这些钱都是广大无知的青少年朋友给他的,换来的都是一些没用的技术,没用的工具。网上浩浩荡荡的工具小子大都是从这里出来的吧,还自称什么黑日同盟,多么的可笑。穿个红裤衩就把自己漂白成红客了。人再无知,没修养不过如此,打着培训中国网络安全人才的旗号,给自己赚取大把钞票,出来的都是一些技术智障人士。
没办法,国内的网络安全意识确实不是很好。
昨天到一个内容挺多的站点,随手一测试了不得,这么大一个站点到处都是洞洞。我加了他们的站长,好心提醒,没有得到重视。随便写点js进去,跳转到我的blog,没想到一会功夫给我的blog增加了100多个ip访问量,看来确实如其站长所说:“我们站会员很活跃”。再次提醒他哪里有问题,然后为了避免流量“淹没”我的blog,想去删除掉我的那个日志,没想到没有删除功能。既然洞洞这么大,自己可以随便的删除。不过我们虽然有这个能力,但没有这个资格。大部分页面都有问题,估计这里的会员都比较“老实”,又发现这个站点的cooke机制一点加密措施都没有,配合xss可以拿到整站的会员资料,密码也是明文的。
其实脚本安全也没有我们想象中那么复杂,写程序的时候只要我们本着负责任的态度,多想想哪里可能会出问题,闲暇时候补充下自己所用语言的一些安全常识,加上多和一些资深人士多交流,出问题也不会出大的问题。没有绝对的安全,但是我们相对可以做到更好。