1.5万女大学生照片泄密 为选校花 黑客不择手段
安全防线
小新打黑
评选校花,是永恒的热门话题,无论在何时何地都可以吸引广大网民的眼球,但千万不要学扎克伯格那样搞校花评选!
素颜美女大评选
前不久,某高校的大学生“金鱼火花”MM,在上完晚自习后回到寝室,一进门就被室友拉住,嘴里不停地诅咒着男生,感到诧异的“金鱼火花”被室友弄得一头雾水,直到看到室友的电脑后惊得目瞪口呆!
电脑显示屏中打开了一个“素颜美女大评选”网站,里面是一排排的女生素颜照片,每页30张照片,一共有500多页(照片下还提供“顶她”和“圈出她”两项功能;在网页上端,有“排行榜”、“随便看看”和“给我留言”三个选项),“金鱼火花”和室友的素颜照片也赫然在列。
此时,“金鱼火花”仿佛听到远处的男生宿舍,传来一阵阵欢呼声、尖叫声……
还原黑客窃取照片过程
上述场景让小编想起了一部电影《社交网络》,扎克伯格运用黑客技术窃取了哈佛大学的全部女生的照片,并设计一个照片对比PK的页面——该页面就是大名鼎鼎的Facebook的雏形。
看到这里,是不是想知道黑客是如何搞到1.5万女大学生的素颜照片的呢?小编请教了黑客圈的数位牛人,综合技术分析模拟还原了窃取过程:该校的某位学生,在黑客网站学到了一些黑客技术,其中就包含黑客工具的使用。
首先,这位同学在啊D注入工具(非常好用的漏洞扫描工具)中,输入了本校网站的网址,点击“扫描”,找到了一些注入点,然后再一个注入点一个注入点地尝试,看哪个注入点可用。
找到可用的注入点后,再利用工具上传轻便好用的一句话木马(也可能是其他类型木马),木马上传成功后,就可以通过木马入侵服务器。这个过程就比较复杂,该同学还是有一定经验的。
成功进入服务器后,就可以使用数据库连接工具下载数据库,他下载的是学生数据库,里面记录了学生的登记照、学号等隐私数据。最后,根据这些隐私数据,他制作出了素颜美女大评选网站。
我们的对策
在小编看来,虽然这位同学的行为得到了该校许多男生的欢呼,但侵犯了女生的个人隐私,已经触犯了法律,是不对的。如此滥用黑客技术,也违背了黑客精神,并不会得到真正黑客高手的认可。
此外,小编认为,高校网站一定要提高网站管理员的水平,要有自己的安全检测机制,不然就会成为黑客的活靶子。例如,可以用黑客工具(啊D注入工具、明小子注入工具、万能SQL注入工具等)检测网站,及早发现注入点,然后针对这些注入点进行补救,让注入点无效化。
影响人群:上千万高校学生
去年暑假,有上百所高校网站被挂马,其中某高校的页面被黑客窜改成色情页面,长达半年没有人发现。
评论嘉宾
很明显,该攻击来自局域网。通常,来自局域网内部的攻击比外部黑客攻击更加容易,黑客在发起入侵行动时,也会选择内部某个存在弱点的系统作为跳板。上万学生信息被窃取,可能导致欺诈、账号被盗等安全事件频发。——@金山安全专家 李铁军
高校网站一直是安全盲区,每年都有很多网页被黑客发现安全漏洞,从而导致网站被黑客入侵。建议定期做安全检查,特别是要关心建站程序是否更新了安全补丁。——@陈跃峰(高级程序员)
以前黑客入侵高校网站,多为了挂马和窜改页面,极少有黑客入侵学生数据库,就算入侵也是为了窜改学生的成绩。因此我断定这件事情是擅长黑客技术的学生干的。——@smart(HNC联盟组织重要成员)
有两种可能:一种就是学生管理员违规偷偷提升了自己权限,入侵了数据库;另外一种就是懂黑客技术的学生在局域网内入侵了数据库。——@BQ_花烟(BQ黑客小组重要成员)