图灵禁区 第86节(2 / 4)
听时夜的指示,他们从后台检查了一下facebook的这个早期版本——真的很早期,就是马克同学在学校期间写出来的雏形而已,漏洞非常多!
时夜大概看了一下构架,直接宣布:“放弃从网站开始进行防御。”
楚英纵:“啊?直接放弃真的好吗?”
时夜:“没救了。”
楚英纵:“……”好的,言简意赅。
事实也确实如时夜说的一样。
夜间3:00整,俄罗斯轮盘赌正式开始,他们不约而同地发出了第二条动态。
【fennel:[鞠躬的图片]】
【signale:来。】
第一分钟,他们首先一起开始尝试对对方的社交网站进行入侵。
时夜通知楚英纵:“先伪造网页参数,做session hijacking。”
楚英纵:“从哪个参数开始做起?”
时夜看了一下,说:“st这个参数。”
这就完全是经验问题了。
对一个类似【http://my.jjwxc.net/onebook_vip.phpnovelid=4043127&chapterid=79】的网址来说,里面包括有像“novelid”、“chapterid”这样的参数,分别代表的是什么一般只有程序员知道。
外人第一眼看到的时候,如果参数非常众多的话,就只能凭借经验来进行猜测。
时夜的经验和运气都不错,第一次就猜中了:st参数就是这个网站的会话token。
楚英纵看他们的当前token是数字“1002”,就有点无语了,说:“不会吧……马克同学难道是按照1、2、3、4这样排下来的吗?都不加密一下的吗?”
时夜说:“试试就知道了。”
楚英纵试着直接把网址从【……st=1002&……】改成了【st=1001】,然后刷新页面。
bingo!
他的网页突然变成了另一个人的后台——fennel的后台!
“……”
楚英纵沉默半晌,道:“……我突然觉得扎克伯格在我心目中的地位下降了。”
时夜笑了一下,说:“你不能指望大学生在初次创业制作网站的时候,就考虑到安全问题。”
实际上,直到现在为止,很多经验丰富的互联网公司都会忘记网络安全,直接奔着商业价值就去了。
就比如说某个体量相当庞大的女性向网络文学网站,都已经到了0202年代了,仍然使用古老的“http”协议,而不用“https”协议进行用户登录和vip相关操作。
这导致盗取他们的用户变得异常简单,很多民间黑客随手一试,就能成片成片地盗号。
像google的浏览器,根本不需要分析,一看他们的网址,都会直接在左边提示“不安全”三个大字。
说出去很多业内人士都不敢相信! ↑返回顶部↑
时夜大概看了一下构架,直接宣布:“放弃从网站开始进行防御。”
楚英纵:“啊?直接放弃真的好吗?”
时夜:“没救了。”
楚英纵:“……”好的,言简意赅。
事实也确实如时夜说的一样。
夜间3:00整,俄罗斯轮盘赌正式开始,他们不约而同地发出了第二条动态。
【fennel:[鞠躬的图片]】
【signale:来。】
第一分钟,他们首先一起开始尝试对对方的社交网站进行入侵。
时夜通知楚英纵:“先伪造网页参数,做session hijacking。”
楚英纵:“从哪个参数开始做起?”
时夜看了一下,说:“st这个参数。”
这就完全是经验问题了。
对一个类似【http://my.jjwxc.net/onebook_vip.phpnovelid=4043127&chapterid=79】的网址来说,里面包括有像“novelid”、“chapterid”这样的参数,分别代表的是什么一般只有程序员知道。
外人第一眼看到的时候,如果参数非常众多的话,就只能凭借经验来进行猜测。
时夜的经验和运气都不错,第一次就猜中了:st参数就是这个网站的会话token。
楚英纵看他们的当前token是数字“1002”,就有点无语了,说:“不会吧……马克同学难道是按照1、2、3、4这样排下来的吗?都不加密一下的吗?”
时夜说:“试试就知道了。”
楚英纵试着直接把网址从【……st=1002&……】改成了【st=1001】,然后刷新页面。
bingo!
他的网页突然变成了另一个人的后台——fennel的后台!
“……”
楚英纵沉默半晌,道:“……我突然觉得扎克伯格在我心目中的地位下降了。”
时夜笑了一下,说:“你不能指望大学生在初次创业制作网站的时候,就考虑到安全问题。”
实际上,直到现在为止,很多经验丰富的互联网公司都会忘记网络安全,直接奔着商业价值就去了。
就比如说某个体量相当庞大的女性向网络文学网站,都已经到了0202年代了,仍然使用古老的“http”协议,而不用“https”协议进行用户登录和vip相关操作。
这导致盗取他们的用户变得异常简单,很多民间黑客随手一试,就能成片成片地盗号。
像google的浏览器,根本不需要分析,一看他们的网址,都会直接在左边提示“不安全”三个大字。
说出去很多业内人士都不敢相信! ↑返回顶部↑