第16部分(第1/4 頁)
“知道的同學呢,可能已經想到怎麼回事了,但是我先不解釋技術本身。就說這名老師,他平時上網都用自己固定的計算機和瀏覽器,登陸了郵箱之後沒有經常退出,並且還選擇了記錄登入資訊,下一次不用再次登陸。我們知道,一般網站在處理這種情況時,都會使用一種叫cookies的東西,將使用者的登入資訊記錄下來。”
Cookies是一個很常見的詞彙,經常上網的年輕人不會對它陌生。所以胡樂說到這裡,大部分人都能聽懂。
“Cookies裡面記錄的一般是我們的各種狀態資訊,比如在某個網站,什麼時間登陸過,什麼時間登陸失效,等等這些。所以每次,當你開啟這個網站,網站就會優先讀取瀏覽器裡的cookies記錄,如果登入仍然有效,你就不需要再輸入使用者名稱和密碼。”
“這名盜卷子的人正是利用這一點。他將老師瀏覽器中的Cookies記錄獲取下來,這個怎麼獲取呢?就是一個跨站指令碼,放在老師瀏覽的網頁裡。比如建立一個虛假新聞頁面,讓老師去點選。一點選,頁面裡的Javascript指令碼檔案就記錄了他的Cookies。甚至不需要破解,只要將這段記錄放到盜卷者自己的瀏覽器中,當他再開啟郵箱頁面的時候,頁面自動讀取有效地cookies,便可以順利登陸了。”
胡樂說完之後,喝了一口水,等臺下的同學們漸漸反應,明白過來怎麼回事,聲音越來越大,他才笑了笑。
“光說不練大家聽著也無聊,我來給大家演示一下。”
接下來,胡樂很是麻利地演示了怎樣利用Javascript指令碼進行攻擊,怎麼將使用者資訊傳送到駭客的伺服器上,甚至是郵箱裡。他甚至用這樣的方法,去攻擊了一個老師的郵箱。當成功進入,大螢幕上顯示出這位老師的郵箱內容時,全場爆發出了熱烈的掌聲。
有人竊竊私語,討論這是不是真的老師郵箱,還是為了演示製作出來的假郵箱。如果是真的就刺激了。
“哈哈,大家不用激動,這確實是真郵箱,不過我之前已經和這位老師商量好了,裡面既沒有成績單,也沒有卷子。而且這種攻擊方式所利用的漏洞,也已經被補上了。”
聽了他的話,全場一陣哀嘆,這聲音太過明顯,讓同學們自己又都笑了起來。原來大家都在記錄胡樂剛剛做的事情,想回去也體驗一把駭客的感覺呢。
賈小蕊聽他講入侵過程,看他的演示,看得十分入迷,雙眼都要呈現桃心狀了。她之前安靜的時候都不敢說話,這時候趁著大家鼓掌聲音大,趕快湊到鍾錦耳邊問:“原來還有這麼容易的攻擊方法啊!回去我可得試試看。”
鍾錦忍不住道:“看著容易,做起來可未必。”
賈小蕊不服氣:“管他呢,也許我就成了駭客呢!”說完還一揚下巴,小臉上全是得意。
胡樂接下來又演示了幾個簡單的,比較經典的駭客攻擊案例,所攻擊物件全都是N大學自己的論壇,網站,看上去十分真實。他也明說了,這些漏洞都是他來之前分析N大學的網路得到的,跟學校溝通以後,獲得允許才拿來演示。
“當然和之前的跨站攻擊漏洞一樣,這些問題已經被修復了,大家如果要按照我這麼做的話,可不能成功了哦。”
下面發出了一陣鬨笑。
此時講座已經過去了半個多小時。因為胡樂所講述的內容豐富,演示細膩,大家聽起來倒也不覺得枯燥。就是鍾錦也聽得津津有味。倒不是說她覺得這些內容有多新鮮,多神奇,而是胡樂作為一個公安人員,負責的是網路安全。他的思路就非常值得借鑑。
不論是按照傳統思想,還是實際情況,駭客還是一個被定位為小偷,賊,破壞者的負面角色。往好了說,也是個俠盜。那麼相對的,安全人員,尤其是以政府機構為後盾的安全人員,就是官兵。
官兵抓賊,賊不想被官兵抓,怎麼辦呢?一要技術高於官兵,二要足夠謹慎,三就是要了解官兵。反之亦然。
所以作為鍾錦來講,瞭解胡樂這樣的人是什麼樣的思維過程,行事模式,對她還是很重要的。
很快,胡樂已經講完了三個經典攻擊。
“講完了案例,接下來,就該說說駭客這個概念了。”他笑著關上了剛剛入侵成功的介面,結束了第一階段的講座。
而下面坐著的,之前被略顯枯燥的技術話題弄得走神的同學們。聽到駭客兩個字,又重新精神起來。
作者有話要說:=皿=抽筋回覆打