程序员,一个互联网时代的“ 落魄打工仔 ”。他们除了要忍受产品经理骑在脖子上拉屎,还要面对各种猝不及防的糟心事。包括但不限于服务器崩溃、改 BUG、加注释、接手同事留下的垃圾代码山等。
但好在,这依然是当下最炙手可热的职业,永远都有满腔热血的新人加入,也永远有大佬乐于分享自己的代码技术。
比如,在 B 站,你也许就见过这位叫「程序员鱼皮」的 UP 主,他常常发一些代码教学的视频,引领新人入坑。
这位 UP 主看上去脾气好,举手投足也很有礼貌,毫无攻击性,实事也确实如此。不过,也正因为柿子要挑软的捏,最近几个月,鱼皮过得不太顺畅。
堪称一个受苦,举步维艰。从他这个“ 程序员之耻 ”的系列视频中,我们就能窥见一些端倪。
事情,还要从 1 月 10 号的视频说起。鱼皮建立了一个面试刷题网站,叫「测试鸭」,初心纯粹——为了帮助广大程序员面试。网站里有各种题目,类似于驾考宝典,每个人都可以根据自己的岗位模拟面试。
但小树不修不直溜,没有一些漏洞攻击,网站的安全系统就得不到成长。于是,几个热心网友,不在网站刷题,来帮网站“ 成长 ”来了。
比如在网页里,整一段< 鱼皮是狗 >的 xss 狠活儿注入。编程小知识:xss,中文名叫跨站脚本攻击,攻击者通过在网站注入恶意指令代码,来获得更多的网站操作权限。
或者,直接用爬虫爬了网站内 500 多页的试题内容。而鱼皮的题库一共才 400 多页,属于是提前预判了 100 页的内容。编程小知识:爬虫,一种抓取公开网站内容数据的技术手段。
甚至,有人一口气刷了 20 万条灌水内容。
直接把网站干崩溃了。
最骚的是,走之前还不忘嘲讽一波。
也有些人,在网站里疯狂打广告、恶意刷评论、刷点赞数等等。但与上面几位大哥相比,已经算是出手客气的了。
历经这次事件之后,鱼皮意识到了自己的网站有很多漏洞,急需修复。于是励精图治,回去又改了改 BUG,进行了一个版本的更新。本来新网站被攻击,还挺稀松平常的,整件事看着也就像一个网友们的恶搞。
但谁也没成想,这次竟然激起了大伙的胜负欲。乃至于不少新人抛下狠话,势必要把网站撂倒,丝毫没有手下留情的意思。
然后没过两天,就有人摧毁了网站的回答区。原因是这人在回答区,回复了一条多达 6M 大小的评论,而他光是昵称就有 3M 多。接着自己再回复一次自己,数据量过大,评论区就炸了。
后来本人出面,表示没有恶意,就是玩玩,嗯,玩玩。
还有人克隆了一个站长鱼皮的 ID 和头像,让系统误以为这人是鱼皮自己。这样一来,他便可以在社区内肆意妄为,发出的灌水内容,连鱼皮自己也删除不了。
更有甚者,想对网站来上一波 DDoS。好消息是,攻击目标的 IP 地址搞错了,鱼皮的测试鸭网站没啥事。
坏消息是,一不小心误伤了另一个无辜的反馈平台。。。编程小知识:DDoS,中文名分布式拒绝服务,可以在隐藏攻击者 IP 的情况下,塞爆对方的服务器,使攻击目标无法正常使用,是一种难以防范、非常强力,造成后果也十分严重的手段。
至此,这位 UP 主就被人盯上了,简直是个行走的 AKA 靶子哥。比如在某天直播里,他本想教教网友们怎么建立自己的网站。但还没开始呢,就因为暴露了自己的 IP 地址,没几分钟,便被人用大流量 DDoS 攻击了。现场表演了一个什么叫直播事故,弹幕里还有称赞攻击者技术高超的。
连续被锤几个月后,鱼皮实在坐不住凳子了。正如那句俗话所说的一样,生活若将我击倒,那我就不站起来了。所以,他干脆躺平,接受了自己的靶子人设,二话不说开摆——
专门建立了一个用来被攻击的网站。我这辈子都没听过这么离谱的要求.jpg ▼
为了让所有人都能顺利攻击自己的新网站,他甚至还配上了贴心的新手教程。像下面这个,根据提示连续快速点击收藏按钮,就能导致网站反映不过来,而显示错误。
对于超级小白,还可以使用网站右下角的「工具包」进行攻击。工具包里内含各种快捷选项,不少行为都能一键生成。像生成灌水内容、营销广告、虚假内容等,点击一下就可以将内容复制到剪切板。“ 攻打 ”起来,可以说相当方便了。
再往下一栏的「专业工具」里,则需要掌握一定的编程基础。比如点击「查看网页源代码」,就会跳出一个鱼皮留下的登录密码提示。
如果你连网页源代码都不知道怎么打开,那鱼皮还保姆级手把手教你要点击右键查看。顺便一提,进入源代码页面后,世超先是全局搜索了一下“ Password ”,结果啥都没有,然后又换中文搜了一下“ 密码 ”,登录密码就出来了。。。
只能说,他是真的怕我找不到,我哭死。
而成功获取密码后,在用户登录界面,就能直接用站长的密码登录了。
每发现一个 BUG,还会跳出一个解锁成就的小提示。在网站内,表现为 UP 主鱼皮的血压值提升。说白了,就像是一个类似游戏内的成就系统。
如果实在找不到 BUG 也没关系,因为网站内还有个攻击提示目录。每种攻击手段下,也都会附赠一段关于如何防范的科普小知识,或是跳转到百度百科的链接。
对了,介绍网站的视频刚发出来才 3 分钟,这个“ 讨打 ”网站,就被人打得上不去了。
看到这,不得不佩服各位老哥的手速。
相信懂行的程序员们,早就察觉出不对劲了。因为很多地方,它都算不上什么真正的黑客攻击。但不得不承认的是,这对刚接触编程的小白来说,无疑是个预防网站攻击的新手教学。
而鱼皮的目的也是为了给大伙提个醒,真等到自己建立网站的时候,能长点记性,做好安全保护措施。
毕竟,网站被攻击可是一件家常便饭的事。正所谓,天下没有绝对安全的网站,安全措施做得再好,也有魔高一尺的黑客,找到漏洞。
这些自命不凡的黑客们,有时候甚至不为了钱,单纯就是想证明自己的技术屌,而导致各种重要网站服务器瘫痪。
像小网站也就罢了,在一些大网站上,一次崩溃几个小时,可能就会造成成百上千万的财产损失。比如攻击支付宝这个,但最后被法律的制裁了 ▼
想要击败对手,就要成为对手,了解对方的套路。所以想学习网站防护,首先就得知道常见的攻击手段都有啥。
而鱼皮这位 UP 主提供了这样一个平台,那些想自己搭建网站的新手们,现在不去攻打还寻思啥呢?不过,这也就是个战术交流,大家可别会错意。真要再把网站搞到进都进不去,那就太不地道了。