(这条文章已经被阅读了 181 次) 时间:2001-08-09 08:51:19 来源:凌云志 (凌云志) 原创-IT
xxx年上网以来,只听说过网上的黑客厉害,攻”城”略”地”无所不能,虽说很向往这样的”侠客”,可惜自己没那个本事。
xxxx年由于自己过份努力,丢掉自己的本职工作专攻网络,没日没夜的学,有了小小成绩,对网络的基本知识略知一二,但也是一半荡子,听网友说一网络服务商提供免费空间,我也去竞争,居然入选。凭空得一顶级域名和若干免费空间及许多权限,大喜三二日,又因工作之事,被丢弃一边。
忽一日,对此空间之浪费甚感可惜,据说此空间支持某某数据库,特别好用,可惜我不会。先向提供商申请开通权限吧?唉,几个月了,都不回答我的。不要紧,先在我的机器上试试看,在自己的机器上按照网络的配置安装软件,狠钻几日,居然被我无师自通,又一日,发现网络上有一很好用的管理软件,下载来试试,哈哈,非常好用。
突发奇想,上传到此空间试试!
传……终于传上去了,他们应该设定权限了,不会让我看到的,管他呢,先试试再说,打开管理软件目录……居然什么都能看到,我可是没用用户名和密码的??是怎么回事???试试能否添加数据库?可以!试试能否删除数据库?可以!!看看别人的数据库?可以!!!在别人的数据库增加数据?可……在别人的数据库删除刚刚添加的数据?居然也可……
天呐!!!
难道就这么使用吗?
在激烈的思想斗争中,十几年来受的教育和职业的操守占了上风。给那个提供商发Email吧,以前看到那个提供商的主页,发现他们的缺陷好像有奖励的,兴许还能继续给我免费使用这个空间的。呵呵,就这么办。
第一封信:
标题:昨天我发现一个数据库的缺陷!
内容:管理员,你好!我是****赞助的免费用户,用户名是****,编号是:****。由于贵站一直未履行协议中规定和广告中提出的****权限,我多次发EMAIL要求为我开通权限,但一直无回音,贵站好象忘了我们的存在了。我本不熟悉****,但既然有这个功能,我为何不先在局域网中用呢?在我的机器上,系统环境为****,通过实验,****软件可以成功的管理****数据库。当时,我突发奇想,可否在贵站上使用呢?上传后,通过实验,居然成功了。管理员可以看到,那个数据库里面增加了一个****的数据库。按照我的理解,这是一个很大的漏洞,当然,如果你们设置权限的话,应该是可以避免的。我的建议和要求:我是一个***,不希望通过这种手段得到权利,希望你给我们开通。同时,我希望你们能继续赞助我,并给我一定的空间!谢谢你们。
回信:收悉来函。已转技术部门处理回复。
第二封信:
管理员:
为何今天我的网站无法访问,ftp也无法进入?
你们不会这样吧?我提个意见、指出漏洞,并请你们资助,你们就关闭我的网站?请尽快给我一个答复。
回信:是我们的LINUX出了故障,正在处理。
第三封信:
管理员,你好,你们已经改过来了,可是我现在不能连接***数据库,如何连接、备份、删除等等。
另外,我记得以前发现错误和漏洞都有奖励的,如何奖励我啊!呵呵。
回信:(另一个人)
您好!我收到了您发给我们的邮件,首先感谢您的诚意及对我们的信任。
目前您能否将所提到的具以提出权利的协议MAIL给我。我将尽快给您答复。谢谢!
第四封信:
你好,你们又换了一个人来答复我了,你们的人真多。
我是****赞助的免费用户,用户名是****,编号是:****
这个缺陷是这样的(我已经重复很多次了):
你们的****数据库可以用任意的站点名登录进去(如我用的****,用户名:****,密码:空),直到现在我仍然可以修改***数据库(我试验过),并且可以重起****服务(我没有试验,免得损坏这个服务)。
我现在用****管理软件可以轻易的修改****服务的所有数据。我现在给自己建了一个数据库。同样的道理,只要是这个服务器上的所有用户,只要有****软件,就可以修改。(如果你不信,我可以示范给你看)
如果别人使用****软件,他就可以更改我的所有数据。所以说,你们服务器上的设置是不正常的(不需要我告诉你怎样设置吧!)。
我查阅了许多资料,这的确是个大的漏洞。
请你们尽快修改。
关于请求你们给我继续帮助的问题(我也请求几次了):
我是一个***,不希望通过这种手段得到权利。
同时,我希望你们能继续赞助我(按照我和贵公司去年签的合同是***M以上的空间***权限),能延续和增加我的空间和权限。
因为工作的关系,我在去年没有时间维护我得到的网站,今年我有一个计划,准备做一个好点的网站,请你们支持我。谢谢你们的支持。
回信:您好。您是与****签的合同吗?现在将这份合同MAIL给我有困难吗?
第五封信:
合同在附件中。
回信:(又一个人)
尊敬的客户:你好!
你的***数据现已经开好了!
数据库名称:***
用户名:***
密码:****
服务器地址:***.***.***.***
远程管理数据库的方法是:……
若有其他问题请你及时和我联系。
第六封信:
今天上午**点左右,我用***软件看到有人建立了一个新的数据库****。
也就是说,如果他们使用***软件,同样看得到我的数据。
请一定要修改权限!!!!
我刚刚说的这个数据库的主人是 ***
请尽快更改权限!!!
回信:
你能看到别人的数据库但对它没有任何操作权限
第七封信:
“我发现一个数据库的缺陷!”我已经重复多次,我不想再重复,请看附件中我发的信。
1、请你们尽快更改权限,你们的****数据库很不安全。(今天用我的方法仍然能看到)
2、如果有可能,请继续赞助我。
3、对这个问题,我以后将不在来信。谢谢以下四位的答复:
**** **** **** ****
回信:…
第八封信:
看来我的建议你们没有接受!为了你们的安全,也为了我的数据安全,我做了个实验。
我已经在***数据库中的***数据表中插入了***,
你自己去看吧!
特别申明,你看后请删除,我并不想破坏你们的系统,也不想破坏***的数据,只是为了让你们相信,你们的数据库很不安全。
回信:
你好!你在远程用什么用户来连接我们的***数据库的或者是用什么方法来实现的;因为我看了数据库的设置没有什么问题,所以只好请教你指点我一下.
谢谢你的帮助!
第九封信:
哎呀,你把我的数据删除了,给我备份了吗?
你终于相信你们的数据库有缺陷了。
我现在仍能进入,已将第八封信中增加的内容删除了。
要知道我如何进入,请看我的第一和第四封信
具体实验地址:***/***
用户名:***
密码:***
等你的好消息。
同时,希望你们继续援助我!谢谢你们。
回信:
尊敬的客户:你好!
这个服务器的***数据库安装了没有起用也没有给它设置***密码,因此只要能登陆上去都可以建一个数据库的***的用户,我现在已经把几个***用户删除了,至于你数据库被谁删除我现在没有办法。若有其它问题请你直接和我联系,谢谢你的支持!
第十封信:
按照你以上的说法就是说我们的***数据库永远没有安全感了!
我的数据也无缘无故的被删掉了,难道是我自己删掉的吗?
看来我是多事了。
回信1:***好:请尽力处理用户所反映的问题,确有困难的地方也请和用户详细说明取得谅解。谢谢!
你好:该问题请与技术部***直接联系解决。如仍不满意,可投诉至质控部***。 其他邮箱请您不要发送,以免影响非相关人员的工作。谢谢您的合作!
第十一封信:好的,我不会再发了。也不会再打扰你们了。
回信2:你好!你给我们指出来这台服务器数据库的缺陷,我有你这样客户是我们的荣幸;我现在已经重新设置了数据库的权限;为了服务器的安全你能帮我再测试一下是否还有问题;至于你的数据库我只好给你重新建.
谢谢你的支持!
呵呵,这就是黑客的结果。
唉,我真是多事,有用的你就用,不会用你就别说,空发这么多信,搞到最后连自己的数据库是什么都不知道了,还要继续Email给管理员,看来这个黑客真是不好当啊!
(本人第一篇网络小说,请大家看看,哈哈一笑就可)2001年1月11日