程序員,一個互聯網時代的“ 落魄打工仔 ”。他們除了要忍受產品經理騎在脖子上拉屎,還要面對各種猝不及防的糟心事。包括但不限於服務器崩潰、改
BUG、加註釋、接手同事留下的垃圾代碼山等。但好在,這依然是當下最炙手可熱的職業,永遠都有滿腔熱血的新人加入,也永遠有大佬樂於分享自己的代碼技術。
比如,在 B 站,你也許就見過這位叫“程序員魚皮”的 UP 主,他常常發一些代碼教學的視頻,引領新人入坑。
這位 UP 主看上去脾氣好,舉手投足也很有禮貌,毫無攻擊性,實事也確實如此。
不過,也正因為柿子要挑軟的捏,最近幾個月,魚皮過得不太順暢。
堪稱一個受苦,舉步維艱。
從他這個“ 程序員之恥 ”的系列視頻中,我們就能窺見一些端倪。
事情,還要從 1 月 10 號的視頻說起。
魚皮建立了一個面試刷題網站,叫“測試鴨”,初心純粹——為了幫助廣大程序員面試。
網站里有各種題目,類似於駕考寶典,每個人都可以根據自己的崗位模擬面試。
但小樹不修不直溜,沒有一些漏洞攻擊,網站的安全系統就得不到成長。
於是,幾個熱心網友,不在網站刷題,來幫網站“ 成長 ”來了。
比如在網頁里,整一段< 魚皮是狗 >的 xss 狠活兒注入。
編程小知識:xss,中文名叫跨站腳本攻擊,攻擊者通過在網站注入惡意指令代碼,來獲得更多的網站操作權限。
或者,直接用爬蟲爬了網站內 500 多頁的試題內容。
而魚皮的題庫一共才 400 多頁,屬於是提前預判了 100 頁的內容。
編程小知識:爬蟲,一種抓取公開網站內容數據的技術手段。
甚至,有人一口氣刷了 20 萬條灌水內容。
直接把網站干崩潰了。
最騷的是,走之前還不忘嘲諷一波。
也有些人,在網站里瘋狂打廣告、惡意刷評論、刷點贊數等等。
但與上面幾位大哥相比,已經算是出手客氣的了。
歷經這次事件之後,魚皮意識到了自己的網站有很多漏洞,急需修復。
於是勵精圖治,回去又改了改 BUG,進行了一個版本的更新。
本來新網站被攻擊,還挺稀鬆平常的,整件事看着也就像一個網友們的惡搞。
但誰也沒成想,這次竟然激起了大夥的勝負欲。
乃至於不少新人拋下狠話,勢必要把網站撂倒,絲毫沒有手下留情的意思。
然後沒過兩天,就有人摧毀了網站的回答區。
原因是這人在回答區,回復了一條多達 6M 大小的評論,而他光是昵稱就有 3M 多。
接着自己再回復一次自己,數據量過大,評論區就炸了。
後來本人出面,表示沒有惡意,就是玩玩,嗯,玩玩。
還有人克隆了一個站長魚皮的 ID 和頭像,讓系統誤以為這人是魚皮自己。
這樣一來,他便可以在社區內肆意妄為,發出的灌水內容,連魚皮自己也刪除不了。
更有甚者,想對網站來上一波 DDoS。
好消息是,攻擊目標的 IP 地址搞錯了,魚皮的測試鴨網站沒啥事。
壞消息是,一不小心誤傷了另一個無辜的反饋平台。。。
編程小知識:DDoS,中文名分佈式拒絕服務,可以在隱藏攻擊者 IP 的情況下,塞爆對方的服務器,使攻擊目標無法正常使用,是一種難以防範、非常強力,造成後果也十分嚴重的手段。
至此,這位 UP 主就被人盯上了,簡直是個行走的 AKA 靶子哥。
比如在某天直播里,他本想教教網友們怎麼建立自己的網站。
但還沒開始呢,就因為暴露了自己的 IP 地址,沒幾分鐘,便被人用大流量 DDoS 攻擊了。
現場表演了一個什麼叫直播事故,彈幕里還有稱讚攻擊者技術高超的。
連續被錘幾個月後,魚皮實在坐不住凳子了。
正如那句俗話所說的一樣,生活若將我擊倒,那我就不站起來了。
所以,他乾脆躺平,接受了自己的靶子人設,二話不說開擺——
專門建立了一個用來被攻擊的網站。
我這輩子都沒聽過這麼離譜的要求.jpg ▼
為了讓所有人都能順利攻擊自己的新網站,他甚至還配上了貼心的新手教程。
像下面這個,根據提示連續快速點擊收藏按鈕,就能導致網站反映不過來,而顯示錯誤。
對於超級小白,還可以使用網站右下角的“工具包”進行攻擊。
工具包里內含各種快捷選項,不少行為都能一鍵生成。
像生成灌水內容、營銷廣告、虛假內容等,點擊一下就可以將內容複製到剪切板。
“ 攻打 ”起來,可以說相當方便了。
再往下一欄的“專業工具”里,則需要掌握一定的編程基礎。
比如點擊“查看網頁源代碼”,就會跳出一個魚皮留下的登錄密碼提示。
如果你連網頁源代碼都不知道怎麼打開,那魚皮還保姆級手把手教你要點擊右鍵查看。
順便一提,進入源代碼頁面后,世超先是全局搜索了一下“ Password ”,結果啥都沒有,然後又換中文搜了一下“ 密碼 ”,登錄密碼就出來了。。。
只能說,他是真的怕我找不到,我哭死。
而成功獲取密碼后,在用戶登錄界面,就能直接用站長的密碼登錄了。
每發現一個 BUG,還會跳出一個解鎖成就的小提示。
在網站內,表現為 UP 主魚皮的血壓值提升。
說白了,就像是一個類似遊戲內的成就系統。
如果實在找不到 BUG 也沒關係,因為網站內還有個攻擊提示目錄。
每種攻擊手段下,也都會附贈一段關於如何防範的科普小知識,或是跳轉到百度百科的鏈接。
對了,介紹網站的視頻剛發出來才 3 分鐘,這個“ 討打 ”網站,就被人打得上不去了。
看到這,不得不佩服各位老哥的手速。
相信懂行的程序員們,早就察覺出不對勁了。
因為很多地方,它都算不上什麼真正的黑客攻擊。
但不得不承認的是,這對剛接觸編程的小白來說,無疑是個預防網站攻擊的新手教學。
而魚皮的目的也是為了給大夥提個醒,真等到自己建立網站的時候,能長點記性,做好安全保護措施。
畢竟,網站被攻擊可是一件家常便飯的事。
正所謂,天下沒有絕對安全的網站,安全措施做得再好,也有魔高一尺的黑客,找到漏洞。
這些自命不凡的黑客們,有時候甚至不為了錢,單純就是想證明自己的技術屌,而導致各種重要網站服務器癱瘓。
像小網站也就罷了,在一些大網站上,一次崩潰幾個小時,可能就會造成成百上千萬的財產損失。
比如攻擊支付寶這個,
但最後被法律的制裁了 ▼
想要擊敗對手,就要成為對手,了解對方的套路。
所以想學習網站防護,首先就得知道常見的攻擊手段都有啥。
而魚皮這位 UP 主提供了這樣一個平台,那些想自己搭建網站的新手們,現在不去攻打還尋思啥呢?
不過,這也就是個戰術交流,大家可別會錯意。
真要再把網站搞到進都進不去,那就太不地道了。