随笔 - 115  文章 - 481  trackbacks - 0
<2007年1月>
31123456
78910111213
14151617181920
21222324252627
28293031123
45678910

常用链接

留言簿(19)

随笔档案(115)

文章档案(4)

新闻档案(1)

成员连接

搜索

  •  

最新评论

阅读排行榜

评论排行榜

  请不要因为没吃过猪肉,也没见过猪跑,就否认这世界上有猪的存在;更没必要国为2007是猪年一下子变得跟猪一样“可爱”

  开源最原始的说法就是开放源代码,而黑客已经是IT业乃至社会大众都耳熟能详的名词了,就连上学3年级的小强都经常信誓旦旦的说:“我长大要做一名黑客!”。全世界的黑客非常多,因为性质不同可以细化成CRACKER或HACKER,中国也不例外。有一点不同的是,中国存在着大量的“黑客”----一群拿着别人做的工具去扫描别留下的各种错误的黑心客人。

  开源与黑客有什么关系呢?Linux因为开源了,所以其初最设计上的一些安全问题很快就被业内所知晓,代码中的Bug很快被修复,而其中涉及到安全上的问题解决基本上来源于黑客高手的贡献。而Windows没有开源,因此他的漏洞存在概率大得多,因此中国的“黑客”们就会不厌其烦的用他来练手。  
  最近,“春迷”们因为我的一篇文章突然对做黑客产生了兴趣,由于EasyJF所犯下的“低级错误”,于是他们轻松轻松就把EasyJF开源的一个简单示例应用http://asp.easyjf.com“黑”掉了,这是今天早上上班我看到情况,如下图所示:
  
  这个被“黑”的系统是EasyJF发布的一个EasyJWeb及EasyDBO的应用示例程序,原型是一个只有两台电脑、三个人、一个操作人员的小工厂的用在局域网内部的订销管理系统。我参与过这个示例的代码书写,用了几天的时间,发布在网上的示例应用是最初版,那个小厂的正版改了非常多的东西。本次的“黑客”很轻松就发现了原来那个输入产品标题的input文本框中尽然可以输入<script>标签,于是在里面输入了一个<script>while(true)alert('垃圾程序')<script>这样的标题,于是当别人看示例的时候,显示这个标题的时候就出现了上图的被“黑”现象。
  
  这让我想起这次回农村老家王大爷给我讲的一件事。他说咱村路边上金小二家的狗非常聪明,专咬肩上挑着重担子的人。狗见了陌生人要吼着并做声势这不奇怪,而金小二家的狗不一样,因为凡肩上有担子的人,见狗来了都不好把担子放下来(因为难得重新抬上肩),甚至没发作动作吓唬它,金小二家的狗看出了这一点,所以凡是没带多少东西的路人,他顶多在几迷以外大吼几声,而遇到肩上有重担的人,他必跑上来咬。因此,后来那些凡是挑了担子的,过金小二家门口时,都需要一个空手的人陪着。
 
  就像因为有太多“黑客”存在,我们在做任何的系统的时候,尽管你的系统定位是在局域网、或者单机、甚至只是简单的演示,你都需要配一个专门负责安全检查的人,以防“黑客”们的“入侵”。
  当然,EasyJF开源轻易发布这样存在着“严重”、“低级别”安全漏洞的源代码是应该批评的,作为成员之一我也为此感到惭愧,同时作为完全开源的东西也非常希望大家能更友善的多提出类似的漏洞、或者亲自来修补。相信经历这样的事儿大家也很提高了警惕,就像咱村里的人都对金小二家的那只聪明的狗格外重视一样。
  不过想想咱村那只狗也非常可爱,我突发奇想下次我要是回去,他还在的话。我一定挑一担子棉花,然后拿一跟铁棍做拐,等他上来的时候用铁棍逗它玩玩。如此想来,“春迷”式的“黑客”们也还是很可爱的。
  
  不过,还是奉劝“春迷”小朋友们:请不要因为没吃过猪肉,也没见过猪跑,就否认这世界上有猪的存在;更没必要国为2007是猪年一下子变得跟猪一样“可爱”。
 
  最后,帖出EasyJF的netgod同学发出来的部分防“跨站脚本漏洞”入侵的相关代码,希望大家小心“黑客”!
   <script>alert('easyjf');</script>
   <IMG SRC=javascript:alert('easyjf')>
   <BODY BACKGROUND="javascript:alert('easyjf')">
   <BODY ONLOAD=alert('easyjf')>
   <BGSOUND SRC="javascript:alert('easyjf');">
   <br size="&{alert('easyjf')}">
   <LAYER SRC="http://www.easyjf.com/Trojan/a.js"></layer>
   <TABLE BACKGROUND="javascript:alert('easyjf')">
   <DIV STYLE="background-image: url(javascript:alert('easyjf'))">
   <XML SRC="javascript:alert('easyjf');"> 
  
   以上多种形式的跨站脚本都会启动跨站注入,并且可以运行到JSP语句危害到服务器!
  
  关于这种漏洞,只需要简单的把可能包含的类似注入的信息输入框的信息屏闭掉,对于B/S应用来说,最简单的办法之一是直接替换掉“<”及其unicode码%3c。如下面的形式:
   public static String eliminateScript(String value)
   {  
    return value.replaceAll("<","<").replaceAll("%3c", "<");
   }
  当然,对于要允许输入html标签的表单,则不能像上面这样处理,需要逐一处理,其它方法还有很多,只要小心注意就是了,就像咱村挑着担子的农民叔叔路过金小二家的门口时一样。 

(本文作者:EasyJF开源团队  大峡 欢迎转载,转载请保留作者声明,谢谢!)
posted on 2007-01-11 18:52 简易java框架 阅读(1712) 评论(20)  编辑  收藏

FeedBack:
# re: 开源与“黑客”入侵  2007-01-11 19:10 ncindy
晕到,这样都可以。
终于体会到什么叫愈加之罪何患无词啊。
先不说程序漏洞如何啦。
单凭被人利用了一个漏洞,就一口咬定是“春迷”搞的破坏,并且对人家指责甚至侮辱。
你有什么理由就那么肯定是“春迷”做的啊?
把这样的文章放在首页,我还觉得你自己做的,然后跑出来炒做呢。  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-11 19:38 posan
楼主,素质,注意素质  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-11 20:17 dennis
何必呢?真是无语,都是程序员、打工仔,口下留情吧  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-11 20:39 路过
自己笨,还要到处乱咬人.
你以为你是谁哦,输不起就不要出来做程序嘛  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 00:23 路过
上面留言的各位不厚道
做事要低调,做人要厚道  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 08:37 忧郁的龙卷风
低调的华丽!  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 08:40 junmy
踏踏实实做技术。
何必根小朋友一般见识呢。  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 09:04 wangzx
没有了解过更多的前后经过,只不过从这篇文章中感觉到这些作者真是过于狂妄,说才华应该是有,也会不错,但如何妄自菲薄,之可能让自己难以发展。

有时间倒真应该看看你们的easy系统,看看到底有何秒只在啊。  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 10:12 Dustin Tang[匿名]
唉, 没见过Easy**长什么样, 但是看看笔者的人品就不敢用了.  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 10:22 Test[匿名]
怎么感觉作者不像是学计算机的.我是很少看到这种程序员的.倒是和新浪的那些炒作者有点像.
可是没有理由啊, Blogjava这么点地方, 这样费力炒做也不值得啊.我同意楼上的, 这是人品问题.  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 11:22 大峡[匿名]
@ncindy

  呵呵,很久没有来这里回帖了,是谁做的看谁幸灾乐祸就知道了。有兴趣,可以看看在我blog里面“春迷”们的留言,http://blog.csdn.net/easyjf/archive/2007/01/09/1477793.aspx

  既然“春迷”小朋友们喜欢开这种开玩笑,何尝又不让我说呢。呵呵,“春迷”们的情况怎么样,可以去看看我以前在blogjava上的blog的情况就知道。http://www.blogjava.net/daxia
当然也可以参考看一下“春迷”表演的“血案展示与现场花絮实录”。http://blog.csdn.net/easyjf/archive/2006/07/14/921746.aspx

  我可以对我所写的每一篇文章,所做的每一件事情负责,希望“春迷”能对自己所做的事情负责。

  最后感谢支持我的朋友,也感谢反对我的朋友,更感谢如楼上某些脱去马甲来怀疑我人品的朋友,因为是你们让我不断在进步。  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 11:29 大峡[匿名]
最后摘一下我blog后面的留言!http://blog.csdn.net/easyjf/archive/2007/01/09/1477793.aspx

extraleo 发表于2007-01-10 21:29:02 IP: 121.32.176.*
大 虾们,好好去看看你们的系统吧

http://asp.easyjf.com/index.ejf

一下就被人 搞 死了!

好好去看看为什么吧!

年轻人!多干点实事!不要再丢人现眼了
  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 11:32 大峡[匿名]
在blog上我也回了一下:
easyjf 发表于2007-01-09 17:49:01 IP: 222.183.101.*
呵呵,喜欢热闹的“春 迷”们又来了哈。上次事件寒 晴 天同学通过查 ip揭了某些人伤 疤,刚才我随便查了一下,果不其然。“春 迷”们再小,也应该算是成 年人 了嘛,这种弱 智的误导大众的方法请下次使用的时候表现得技术含量高一点点。谢谢

zhanlin911 发表于2007-01-09 14:52:08 IP: 218.20.227.*
Sa B
218.20.227.*
广东省广州市越秀区 电信ADSL

extraleo 发表于2007-01-09 16:11:46 IP: 61.144.19.*
楼主是刚刚毕业的吧?
61.144.19.*
广东省广州市越秀区 电信ADSL

然后再看看在2006年的某年某月某日:

cac 发表于2006-07-14 13:42:00 IP: 219.136.9.*
219.136.9.*
广东省广州市 电信(越秀区)

springer 发表于2006-07-14 10:34:00 IP: 59.42.126.*
59.42.126.*
广东省广州市 电信ADSL

  当然还有某些同学的名字我就不一一翻出来给大家看了,都2007了,下次表演的时候找一个好的代理。
  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 17:01 Anubis
技术的圈圈里竟然也搞出了帮派,而且是自由的Java的圈圈里,我只能说:叉叉你们  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 18:05 BeanSoft
上次还有人黑163.com的wap站点,还放出来截图了...

是系统就有漏洞, 但是人家做系统的照样有钱赚, 你又奈何.

聪明的人多的是, 但是能发财的就那一小部分.

兄弟们, 心态平和一点吧....好歹也是和谐社会.  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-12 21:05 cnodin
寒死,说中国人喜欢内哄,真是没错。春迷是垃圾,你丫也不是好鸟,能不能大度一点呢?鄙视别人最好的办法就是藐视他,让他一个人在那叫去,叫久了也就无趣了。  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-13 00:45 lonely time
我也是广州的,无语了,原来IP来自广州的就是春迷阿,貌似广州人民支持周笔畅多一点阿,楼主给人编派罪名的能力非一般的强....  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-13 08:53 哈哈[匿名]
我也喜歡周筆暢呀,但我不是廣州的----confirmationCodeconfirmationCode婦□亂碼。

寫代碼累了,上來看看這些BLOG還是可以放松心情呀。都別當真。

不過看多了也會心煩,現在想去EasyJF看看的沖動都沒有,不知為什麼。  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-01-15 11:14 fuck easyjf
操你妈的,以为你早死了,谁知又跑出来放屁,咬人。滚你妈的蛋!  回复  更多评论
  
# re: 开源与“黑客”入侵  2007-08-17 17:02 Jiafan
There is a metaphor here: Hakers are dogs...  回复  更多评论
  

只有注册用户登录后才能发表评论。


网站导航: