這個站 http://www.popo.tw/ 是popo原創,屬於城邦集團的一個網站,前一陣子被駭客入侵了。(XSS攻擊)
我原本以為事件到那時候就結束了,結果其實不是,還持續延燒到了現在
上了蘋果的新聞:城邦網留言「囧」暱稱 熱心駭客獲緩起訴
而竟然在這圈子引起了正反兩派的激烈討論,一對大咖的人也都跑出來講話,雖然似乎比較不支持這個行為的人居多,一派是支持白帽說畢竟有跟對方講有嚴重的系統漏洞,逼對方進行系統安全維護,至少以後不會被真的黑帽駭客給破壞(這個白帽駭客並沒有對popo做出真正的資料破壞,且還在第一時間自己寄信自首) 另一派當然就是說駭他就是不對,縱使他真的有資安問題,也不能這樣做。
其實這個白帽駭客我剛好認識,在某次的unbuntu release party上認識,而其實在攻擊的前夕還沒開始攻擊時的策畫階段我就知曉了。雖然當時我也覺得很好玩,而會被攻擊的原因是因為popo自己網站的安全性根本就做得很差,連最基本的javascript防禦都不想做,而其實還不是內部工程師不會寫,而是上層主管決定不防禦的(說要開放給使用者寫一些自訂的東西) WTF? 自訂CSS等的我可以理解,但是還可以寫SCRIPT也未免太扯。
畢竟透過這個漏洞,真的實際執行的話似乎是可以得到全站所有會員的所有資料,包含帳號密碼等的,而要是POPO又沒加密的話…
當時有先打過一次小的,把全站所有會員的暱稱前面都多加上了 囧| 這樣,而那次popo竟然還是不願意改,於是乎就發動第二次的攻擊,而第二次的攻擊的程式碼有自我傳染能力(但不具破壞性)導致popo非得要關站才有辦法清除。
會支持他的原因,主要大概是因為台灣的老闆們對於網站安全性這塊實在完全的很沒概念,網路上多的是一堆找便宜的接案網站做出來,價錢壓很低,網站做的奇爛無比問題一堆。跨瀏覽器相容性很弱就算了,程式碼超級凌亂亂寫也就算了。且一點安全性都沒有。後台隨便猜都中,index目錄連關都沒關,直接wget全站都帶回家剛好,連基本的安全防禦都沒做就真的很扯。而慘的是外面一堆老闆雇主反而喜歡這種的,網站滿滿flash跑不動、然後設計很差、問題很多、常常被駭…每次看到這種網站就都很搖頭。而網站這領域的行情也是這些案子在拖低價錢的。
有時候好像也真的不能太怪那些學生,畢竟他們的老師也不少都只會設計網站而不會寫程式,所以就亂教。
我就遇過跑去問過某系教css的老師,在他的css課堂上問他說HTML4 的DOCTYPE的三種宣告差在哪,畢竟不同的宣告對於css的顯示有影響,而老師跟我說他不知道這是甚麼,也不知道影響在哪,問說遇到瀏覽器相容問題,在IE上開不起來怎辦,老師說叫他換CHROME就正常了。也上過sql的課問sql老師sql的效能,他跟我說他不懂效能,還問了另外一位sql老師說資料庫的欄位定義成int char varchar差在哪,也是說不知道。
WTF !
難怪學生當然都不會啊! 畢業出來說要寫出個啥像樣的網站怎麼可能? 除非自己私底下還自己猛進修或工作進步之類的。不少只會教設計,而程式卻亂教的老師真的要好好地反省一下才對。
會支持白帽駭客的原因大概也是因為上面的這些感觸,希望台灣能多多重視資安這個領域,哪個上線的網站不會被駭客掃? 以前寫過的再小的網站放個幾個月看LOG就滿滿的攻擊error log了。
希望寫程式的人或是雇主多多注意這塊,雖然這塊其實看不到,就算下了很大的功夫也看不太出來,但是他還是很重要的。而不是主管客戶要求只會看那些前端的地方圖片要動,畫面要很炫,排版要怎樣巴拉巴拉的這些而已。
雖然我在資安這領域其實還很淺,很多東西都只知道一些基本的概念,至少盡可能的讓我自己寫的程式,可以抵擋掉絕大部分的入侵防禦。甚字還會自己寫一個程式去紀錄駭客的行為以便日後分析行為也比較知道怎防禦。
當然對於更高竿的駭客我也還是沒輒就是
附上這次攻擊的程式碼截圖
哀每次參加一些聚會或是conf 都會很覺得自己實力真的是弱的可以。