不要把博客變成江湖

Blog，本來是網友們用來表達心聲，記錄經驗，生活的地方，然而在這個風起雲涌的時代裏，Blog卻成了江湖，一個血雨腥風的戰場。

仇恨在這裏萌芽，血液在這裏沸騰，甚至戰爭也在這裏爆發。

今天潛水去半瓶醋的博客，本想看看他的Flash版金庸4有沒有消息（我承認，我是想拿裏面的金庸人物素材），我卻猛然發現到一個訪問量400多萬的博客已經完蛋了。

摘抄一段半瓶醋和入侵者的對罵……

筆者又潛水去CSDN上的羅莊Blog，想看看有沒有什麼新的galgame的信息，我卻赫然發現到他這個訪問量100多萬的部落格也被攻破了……

從羅莊提到密碼和郵箱被人盜取看，很可能是郵箱被人以某種方法獲得後用合法手段改寫了CSDN的密碼。（PS:說句題外話，這種情況你完全可以請求CSDN管理組處理，總體上看CSDN還是挺負責的。）

然後就「杯具」了，入侵者在羅莊博客上發表了反對聲明，他「自己」和自己打了起來……|||

就筆者看來，這種直接破壞對方博客來達到報復的手段，無論最初起因爲何，也是非常蠻橫野蠻的。

所謂「放蕩功不遂，滿盈身必災」、「虛己者進德之基」，非暴力引發的事情，最好還是非暴力解決，不管是非曲直如何，有事說事，有理講理，他們也沒黑你，就不要武鬥動手，文鬥也動手。

搞IT嘛，就應該「唯實、求活、尚簡」，不要把網絡上的恩怨看得太重，畢竟網上的東西再好，利益再大，也是正經八百的「生不帶來，死不帶去」，何必爲一些小事搞得自己和古惑仔一樣，就算你真是古惑仔，沒看牛佬也要給浩南、山雞收皮了嘛……

做技術這行，在網上其實有很多事情可以幹，覺得自己技術不好的，可以去易語言論壇之類的站點找找自信（不過易論壇已經逐漸被架空，現在有些表面上聊易的，實際上是在玩C/C++和彙編……）；覺得自己技術太好的，可以去看雪論壇之類的站點找找挫折感；覺得幹 IT太無聊的，可以去GameRes VB區翻翻教主、MIU.C、instemast之流的鬥嘴貼；向左的歸鐵血，向右的歸貓眼，中間的去偷菜。總之，能玩的事情很多，何苦要當駭客？當駭客又得不到任何現實利益，就更不應該了，好歹也去黑個大戶……

廢話說完了，本着「亡羊補牢，治病救人」的精神，筆者在此羅列出幾種可能令駭客獲取博客或郵箱用戶權限的方法，僅供參考。

1、暴力破解:
相對網銀系統來說，大多數博客系統都沒有很好的自我保護能力（比如重複登陸多少次都行，權限設置的也很隨意），因此只要被人知道了你的用戶帳號，再寫個OCR識別程序過驗證碼，遍歷密碼嘗試登錄，你也就離死不遠了。
在網速夠快的情況下，暴力破解博客、郵箱帳戶與暴力破解本機程序並沒什麼區別，只要你不換帳戶，對方就總有一天能算出正確的密碼。
要解決這個問題，首要前提是不泄露自己帳號，而萬一帳戶被別人知道後卻又無法更改，那就只能勤換密碼，並儘可能將密碼加長，使用特殊字符加以混淆。假如你設定有32位以上的混淆密碼，並且能保證一週左右就更換一次的話，除非對方是超級計算機擁有者，或者爲了對付你創建了相當程度的計算機集羣（比如控制一堆肉雞大家一塊算），暴力破解將幾乎不可能做到。

2、Cookies欺騙:
大家都很清楚，Cookies是網站爲了辨別用戶身份而儲存在用戶本地終端上的數據。通常情況下，我們可以保留一些基本的用戶信息或訪問數據在Cookies中，以避免用戶再次訪問時重複操作，提升用戶體驗。
但凡事有利就有弊，Cookies也不例外。
在某些安全係數不高的網站系統中，Cookies就經常被濫用，甚至會直接採取Cookies數據來檢查用戶權限，這就是最要命的問題所在。要知道Cookies中的數據是100%可以僞造出來的，一旦博客、郵箱系統的建設者們做出腦殘舉動，比如網站很悲劇的在Cookies中弄出個status來驗證權限，而對方又僞造出status=admin的話……你不死，這世上就沒人死了……
另外就算沒有這些「腦殘級」的錯誤，Cookies中或多或少也會保留些隱祕的用戶數據，只要對方想辦法截獲了你的Cookies文件本身，一樣能夠輕易的將其「模擬再現」。
要解決這種問題，只能修正網站的「腦殘」代碼設置，減少不必要的Cookies權限，並及時清空自己的Cookies文件。如果你正在使用第三方站點爲博客、郵箱的話，那就只好與網站管理人聯繫處理，或者乾脆放棄該站，搬家算了。

3、SQL注入:
自從筆者第一天接觸SQL，就被人反覆叮嚀過SQL注入的嚴重後果，這是一種最不應該出現，卻又最容易出現的安全漏洞。世界上所有支持SQL指令的數據庫系統和網站，都有可能被人利用SQL語句進行注入攻擊。
比如某個網站的登錄驗證的SQL查詢代碼爲String sql = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"，那麼當有人在登錄框惡意填入userName = "' OR '1'='1";與passWord = "' OR '1'='1";時，將導致原本的SQL字符串被填爲String sql = "SELECT * FROM users WHERE (name = '' OR '1'='1') and (pw = '' OR '1'='1');"，也就是無論怎麼運行結果都爲存在該用戶和密碼，此時就算他一無帳戶，二無密碼，也可以照常登錄網站。
上面所舉的例子還是最輕的，也是最容易防範的，實際上此類手段還有N多。
一旦網站在SQL語句代碼上出現紕漏，那麼輕者用戶受損，博客、郵箱等被人以盜用；重者對方將藉此獲取到更高權限，譬如查詢數據表結構，查詢網站管理員密碼，發佈信息、刪除數據、清空數據，格式化硬盤（比如SqlServer中執行個xp_cmdshell "FORMAT C:/"），甚至給你弄點「不利於穩定」的話題，搞得你整個網站一起玩完。
再有，即便你的系統本身沒有受到SQL注入影響，卻顯示出了相關的異常頁面（比如暴露出數據庫所在，或者相關表名，頁面位置等等），也很可能會被對付你的傢伙所利用，進行下一步的深入攻擊。
要解決此類問題，只能嚴把代碼質量關，並絕對不外露異常，不給對方以可乘之機。如果你在使用各大門戶提供的博客、郵箱時發現了這種問題，完全可以向他們反映，通常會最優先解決——就算不管你，他們自己也是要命的……

4、XSS:
近年來開始流行，和SQL注入有異曲同工之妙的XSS，本名Cross Site Script，爲了與CSS(Cascading Style Sheets)區別，才稱XSS。XSS的惡意攻擊者往往向Web頁面裏惡意插入特殊的html代碼，當用戶瀏覽該頁之時，嵌入其中Web裏面的html代碼會被執行，從而達到注入式攻擊。比如使用者可以做一個網頁，用JavaScript把document.cookie當成參數丟過去，再將它記錄下來，就可以去玩Cookies欺騙了……
在XSS中常見的攻擊方法有偷cookie，引導用戶運行特殊頁面，利用iframe或frame存取管理頁面或後臺頁面，利用XMLHttpRequest存取管理頁面或後臺頁面等數種之多。當XSS與其他攻擊方式混合使用時，其殺傷力將更大。
預防方法與SQL注入類似，嚴把HTML和JavaScript語法關，讓攻擊者無漏洞可鑽。不過呢，所謂道高一尺魔高一丈，有些時候真是防不勝防……

5、木馬植入:
沒什麼可說的，一旦你的計算機，或者你所在門戶、郵箱的服務器被人植入了木馬，並取得相關權限，在清除該木馬前，你除了等死或者搬家，就再也找不出第二條通路。
具體中招過程千變萬化，可能因爲你下載了某個遊戲，可能因爲你打開了某個文檔，可能因爲你瀏覽了某個網站，可能因爲你同QQ上某人聊天，甚至可能因爲你瀏覽了某張圖片。還有一點很難預防，國際上大約10%的木馬開源……
解決方法，增強個人素養，遠離不良信息|||，保證服務器安全，及時查殺木馬。

6、網站內鬼:
都是幹IT這行的，不討論，不解釋，此問題只能向網站更高層反映，或者搬家，否則絕對無解。

有人的地方，就有江湖。有江湖的地方，就有恩怨。然而，恩怨卻是現實中的事情，不要帶入網絡這個虛擬的世界爲好些。

寫到這裏，忽然想起了羅文的《走我路》，就用它作爲結束語吧！
無怨無悔我走我路 走不盡天涯路 在風雲中你追我逐 恩怨由誰來結束 什麼時候天地變成江湖 每一步風起雲涌 什麼時候流淚不如流血 每個人也自稱英雄 什麼是黑白分明 是是非非誰能回頭 怕什麼刀光劍影 把風花雪月留在心中 無怨無悔我走我路 走不盡天涯路 人在江湖卻瀟灑自如 因爲我不在乎 無怨無悔我走我路 走不盡天涯路 在風雲之中你追我逐 恩怨由誰來結束