程序员,一个互联网时代的“ 落魄打工仔 ”。他们除了要忍受产品经理骑在脖子上拉屎,还要面对各种猝不及防的糟心事。包括但不限于服务器崩溃、改 BUG、加注释、接手同事留下的垃圾代码山等。但好在,这依然是当下最炙手可热的职业,永远都有满腔热血的新人加入,也永远有大佬乐于分享自己的代码技术。
比如,在 B 站,你也许就见过这位叫“程序员鱼皮”的 UP 主,他常常发一些代码教学的视频,引领新人入坑。
这位 UP 主看上去脾气好,举手投足也很有礼貌,毫无攻击性,实事也确实如此。
不过,也正因为柿子要挑软的捏,最近几个月,鱼皮过得不太顺畅。
堪称一个受苦,举步维艰。
从他这个“ 程序员之耻 ”的系列视频中,我们就能窥见一些端倪。
事情,还要从 1 月 10 号的视频说起。
鱼皮建立了一个面试刷题网站,叫“测试鸭”,初心纯粹——为了帮助广大程序员面试。
网站里有各种题目,类似于驾考宝典,每个人都可以根据自己的岗位模拟面试。
但小树不修不直溜,没有一些漏洞攻击,网站的安全系统就得不到成长。
于是,几个热心网友,不在网站刷题,来帮网站“ 成长 ”来了。
比如在网页里,整一段< 鱼皮是狗 >的 xss 狠活儿注入。
编程小知识:xss,中文名叫跨站脚本攻击,攻击者通过在网站注入恶意指令代码,来获得更多的网站操作权限。
或者,直接用爬虫爬了网站内 500 多页的试题内容。
而鱼皮的题库一共才 400 多页,属于是提前预判了 100 页的内容。
编程小知识:爬虫,一种抓取公开网站内容数据的技术手段。
甚至,有人一口气刷了 20 万条灌水内容。
直接把网站干崩溃了。
最骚的是,走之前还不忘嘲讽一波。
也有些人,在网站里疯狂打广告、恶意刷评论、刷点赞数等等。
但与上面几位大哥相比,已经算是出手客气的了。
历经这次事件之后,鱼皮意识到了自己的网站有很多漏洞,急需修复。
于是励精图治,回去又改了改 BUG,进行了一个版本的更新。
本来新网站被攻击,还挺稀松平常的,整件事看着也就像一个网友们的恶搞。
但谁也没成想,这次竟然激起了大伙的胜负欲。
乃至于不少新人抛下狠话,势必要把网站撂倒,丝毫没有手下留情的意思。
然后没过两天,就有人摧毁了网站的回答区。
原因是这人在回答区,回复了一条多达 6M 大小的评论,而他光是昵称就有 3M 多。
接着自己再回复一次自己,数据量过大,评论区就炸了。
后来本人出面,表示没有恶意,就是玩玩,嗯,玩玩。
还有人克隆了一个站长鱼皮的 ID 和头像,让系统误以为这人是鱼皮自己。
这样一来,他便可以在社区内肆意妄为,发出的灌水内容,连鱼皮自己也删除不了。
更有甚者,想对网站来上一波 DDoS。
好消息是,攻击目标的 IP 地址搞错了,鱼皮的测试鸭网站没啥事。
坏消息是,一不小心误伤了另一个无辜的反馈平台。。。
编程小知识:DDoS,中文名分布式拒绝服务,可以在隐藏攻击者 IP 的情况下,塞爆对方的服务器,使攻击目标无法正常使用,是一种难以防范、非常强力,造成后果也十分严重的手段。
至此,这位 UP 主就被人盯上了,简直是个行走的 AKA 靶子哥。
比如在某天直播里,他本想教教网友们怎么建立自己的网站。
但还没开始呢,就因为暴露了自己的 IP 地址,没几分钟,便被人用大流量 DDoS 攻击了。
现场表演了一个什么叫直播事故,弹幕里还有称赞攻击者技术高超的。
连续被锤几个月后,鱼皮实在坐不住凳子了。
正如那句俗话所说的一样,生活若将我击倒,那我就不站起来了。
所以,他干脆躺平,接受了自己的靶子人设,二话不说开摆——
专门建立了一个用来被攻击的网站。
我这辈子都没听过这么离谱的要求.jpg ▼
为了让所有人都能顺利攻击自己的新网站,他甚至还配上了贴心的新手教程。
像下面这个,根据提示连续快速点击收藏按钮,就能导致网站反映不过来,而显示错误。
对于超级小白,还可以使用网站右下角的“工具包”进行攻击。
工具包里内含各种快捷选项,不少行为都能一键生成。
像生成灌水内容、营销广告、虚假内容等,点击一下就可以将内容复制到剪切板。
“ 攻打 ”起来,可以说相当方便了。
再往下一栏的“专业工具”里,则需要掌握一定的编程基础。
比如点击“查看网页源代码”,就会跳出一个鱼皮留下的登录密码提示。
如果你连网页源代码都不知道怎么打开,那鱼皮还保姆级手把手教你要点击右键查看。
顺便一提,进入源代码页面后,世超先是全局搜索了一下“ Password ”,结果啥都没有,然后又换中文搜了一下“ 密码 ”,登录密码就出来了。。。
只能说,他是真的怕我找不到,我哭死。
而成功获取密码后,在用户登录界面,就能直接用站长的密码登录了。
每发现一个 BUG,还会跳出一个解锁成就的小提示。
在网站内,表现为 UP 主鱼皮的血压值提升。
说白了,就像是一个类似游戏内的成就系统。
如果实在找不到 BUG 也没关系,因为网站内还有个攻击提示目录。
每种攻击手段下,也都会附赠一段关于如何防范的科普小知识,或是跳转到百度百科的链接。
对了,介绍网站的视频刚发出来才 3 分钟,这个“ 讨打 ”网站,就被人打得上不去了。
看到这,不得不佩服各位老哥的手速。
相信懂行的程序员们,早就察觉出不对劲了。
因为很多地方,它都算不上什么真正的黑客攻击。
但不得不承认的是,这对刚接触编程的小白来说,无疑是个预防网站攻击的新手教学。
而鱼皮的目的也是为了给大伙提个醒,真等到自己建立网站的时候,能长点记性,做好安全保护措施。
毕竟,网站被攻击可是一件家常便饭的事。
正所谓,天下没有绝对安全的网站,安全措施做得再好,也有魔高一尺的黑客,找到漏洞。
这些自命不凡的黑客们,有时候甚至不为了钱,单纯就是想证明自己的技术屌,而导致各种重要网站服务器瘫痪。
像小网站也就罢了,在一些大网站上,一次崩溃几个小时,可能就会造成成百上千万的财产损失。
比如攻击支付宝这个,
但最后被法律的制裁了 ▼
想要击败对手,就要成为对手,了解对方的套路。
所以想学习网站防护,首先就得知道常见的攻击手段都有啥。
而鱼皮这位 UP 主提供了这样一个平台,那些想自己搭建网站的新手们,现在不去攻打还寻思啥呢?
不过,这也就是个战术交流,大家可别会错意。
真要再把网站搞到进都进不去,那就太不地道了。