动网论坛入侵之插件篇

本文为非技术文章，属搞笑网文，以博君一笑！

------------------以下是一些废话，没兴趣的人直接看最后几段-----------

版权声明：可以任意转载，转载时请务必标明文章原始出处、作者及本声明http://www.upulife.com

关于动网论坛入侵的文章很多，由于对asp不感兴趣所以一直不曾尝试过做些什么，其实在各位的努力下动网的安全性已经提高了很多了，版本也已经发展到7.0.0 sp2了，入侵也不是那么简单了。下文通过动网一个比较常用的插件为入口….呵呵，我也有幸插一脚！
故事发生在公元前不久，公司内部论坛开了个什么宠物领养的功能，上至公司老总下到像我这样的草根层，都兴致勃勃，由于我不喜欢灌水，所以社区币很少，看着那些高等级的人，心里实是不爽，于是想找点另类的方法来提高等级，于是乎历史上多了这么段小插曲……
公司论坛装的是大名鼎鼎的DVBBS,上safechina.net搜了一把没发现在方面的内容，看来现在比以前是好很多了，不就是要社区币嘛嘛，从哪里来？一.发贴，二…..呵呵，银行啊！走抢银行去！！！论坛有个社区银行，说不定有突破呢！上dvbbs.net看了一下没有这功能，看来是第三方厂商的插件了（窃笑），看来希望大多了，惯性的找些有输入框的地方，先看到的是“事件”，原来是银行历史记录的查询，照例输入一个单引号’，呵呵，出错了：打印出：user=’’’ order by ID 没有过滤，输入1’ or user name like’%a% 结果正确。可惜是JET DB驱动，一般是ACCESS了，累，既然这么基本的输入过滤都没做，那么看来作者的安全意识不是很高了，反正我只要钱，不用这么累，找找有没能直接update的，抽烟ing….，呵呵，银行事务，存款，取款，转账，贷款每个测试一下，发现只有转账中的目标用户名能输入字符，其它都限制只能输入数字了，嘿嘿，这个功能肯定update用户的金钱，又是单引号’，又出错了，直觉告诉我能行了，于是转1块钱给 a’ or username=’b，提交….，错误信息，郁闷ing….，看看b用户，多了一块钱，a用户一分钱都没少（明白了吗？我的一块钱变成两块了，如果你多几个 or 就多更多了,其实它的语句就是update aa set money=money+xxx where username=’$username’），hahaha,五分钟后，我就拥有了500万!!呵呵，这可是我这辈子第一次抢银行啊（要不你还能活着在这废话），如果现实中我能有这么多钱该多好啊^_^
好了，我目的也达到了，要做别的什么的话也可能只是时间的问题，我没兴趣也没时间去做那些了，不过，我google了一下，发现用这个插件的BBS还真是不少，本来也想看看它源代码，但是找了半天没找到，所以我也不知道是谁开发的，也没法发什么BUG报告了，算了！希望没人做什么坏事吧！！

----------------------------------------本文我所想说的------------------

其实上面的都是些无聊的废话，任何一个知道SQL注入的人都能轻易做到，我想说的就是所谓的“系统安全”，其实系统安全是一个浩大的工程，从硬件到系统再到应用，任何一个环节出了问题，都可能导致全盘皆输(这就是所谓的木桶理论)，正如许多讲述网络安全的书籍所说的：“无论你内部网络安全措施做得如何好，可能都顶不过一个用户的拨号。”呵呵，经典！这个例子中，硬件做得很好，系统也做得很好了，而且动网也做得很不错了，可是插件没有做好，所以整个系统都没做好！这不仅仅是管理员的问题，更是开发者的问题，其实这里也“验证”了一条网络安全“原则”：最少服务原则。

有人说：开源需要勇气！

我觉得，开源需要勇气，更需要责任！做系统，开发者不是写完一个程序，做完一个功能就可以了。你还要负起作为开发者的责任，也许在你的license中已经写得很清楚了：本人不对由于使用本系统而引起的任何问题负责。但是这不是你所应该做的，不是一名合格的程序员所应该做的，既然你做了，你就对这一切负有责任，即使别人的系统被毁了对你没影响，那么你也应该觉得羞愧，也应该在午夜梦回时感到惊心,因为这是你的责任。

不仅仅开源系统，免费系统，你所做的任何事情都如此，不要说我不懂安全，不要说这不是我的特长，因为还有更多比你更不懂得安全的人，还有更多比你更不懂得计算机、不懂得网络的人们，在使用你所公布的东西。你不觉得你对这一切负有责任吗？文人中都有”文责自负”的说法，他们能对自己所写的那些虚无缥缈的东西担负起自己的责任，但是作为一个开发人员，一个程序员为什么对自己生产的看得见，摸得着的东西说与本人无关呢？这绝不是我们应该做的！醒醒吧！！做一个能把信送给加西亚的人(《致加西亚的一封信》)

回头看看，不知不觉没想到上文竟成了关于责任的说教了，其实作为一个有独立人格的人就应该做到这些，应该对自己的行为负责，这也是我最近感触深刻的东西，也许你做一个BBS并不会给使用者带来什么灾难性后果，换个角度想想，如果你做的是一个事关企业生存攸关的核心业务系统呢？比如电信计费、生产控制、更甚于导弹发射系统呢？不要告诉我你到时候会做得更好，我不相信，也没人会相信的！

从小事做起，从现在做起（别说我土），做个对自己，对自己的程序，自己的行为负责的人。

做一个能把信送给加西亚的人！！


Hjleochen
2004-6-10
_____________________________
后：这篇短文写了很久了，一直没想要贴出来，那段时间我写的代码出了很多问题，非常郁闷，由感而发，以警示自己。


@Copyright All Reserved By CFNET 2000-2004

http://www.upulife.com
hjleochen@safechina.net