April 01, 2003
![[道聽途說]](http://Jedi.org/blog/icons/wtf.png "道聽途說")
愚人節快樂!
熱切關心藝立協這一群部落客的朋友,可能會注意到今天一早就出現了一堆「!!!!!! THiS SiTE HAvE BEEn CRACkED !!!!!!」標題的文章;連過去一看,不但這些人的網誌內容蕩然無存(真的蕩然無存嗎?),而且頁面內容充斥著反戰宣示,以及「妳的站台被鬼掉了!」的標題。
別緊張,這祇不過是愚人節到了。 Movable Type 並沒有甚麼安全性漏洞,藝立協依舊洋溢著青春快樂(?)的氣氛。且讓我們看一看,今天發生了些甚麼事(圖很多喔)………
最早作怪的應該是我自己吧(自首)。我把自己的首頁改成這樣:
妳可以看到文章標題都變成了「!!!!!! THiS SiTE HAvE BEEn CRACkED !!!!!!」,然後內文則是「MAKE LOVE! NO WAR!」;最底下的「JOiN NoW!! MAkE LOvE fREE!!」則是鏈結到 Slashdot
同時我還修改了 RDF :
所以在各個有 Syndicate 的站台(例如 blog.elixus.org )上,所有的文章都會消失,祇剩下一篇跟首頁內容相同的。這一篇的署名是 DarthVader ,這完全是惡搞,結果果然引出了 zonble 的那一篇「絕地武士不敵黑武士?」。
題外話,如果妳夠細心的話,就會發現我的首頁的「作者」詮釋資料 (metadata) 也一樣修改成 DarthVader 了。
大約 00:30 的時候, Schee 發現了,於是他也跟進改了首頁及 RDF :
他的修改大致跟我的沒有不同,也一樣署名 DarthVader 。
約莫凌晨 1:20 左右, acer 也跟進了:
她用了一個 ASCII ART ,寫著「cracked make love no war」,並且鏈結到 indymedia 去。然後她的 RDF 也一樣有修改:
其實 autrijus 很早也發現了,她把自己的網站也改成這樣(七彩霓虹燈!):
當然也動了 RDF :
甚至附上了修改用的源碼:
於是,妳就可以在藝立協的 Syndicate 網站看到如下的一整排「!!!!!! THiS SiTE HAvE BEEn CRACkED !!!!!!」:
接下來, gugod 在 Newzilla 上面報導了這件事,同時我也用簡體字偽造了一份匿名評論:
你们这些亲美好战的台湾资本主义份子,
这下尝到苦头了吧!互联网博大精深!世界不是你们的!
尤其是那个甚么 J 开头的王八蛋,害我的 Google Rank 一落千丈,
这下我就以彼之矛攻彼之盾,看你还有甚么脸写甚么书!
哼哼哼哼,等著看更多站台被我修理吧!!!
不久之後, acer 又把「正體中文blog中心」改成「歪體亂文blog中心」:
對了, plasmabal 也終於如願以償地響應了:
接著 hcchien 決定開始玩「大的」,於是他修改了正體中文blog中心的網頁伺服器:
妳可以看到,這下子誰的網誌也連不到了:
在這一串亂七八糟之外, hlb 也把自己的網誌改成連到 siiy 的網誌去:
同樣地, siiy 的網誌則會連回 hlb 的去:
我其實沒有花八個小時把 HTML 靜態頁面的文章內容轉成 Movable Type 匯入格式(不過我真的曾經花了十多個小時救回某個被人家刪除的網誌,也纔處理完四十幾篇),倒是在電腦前面捧腹大笑了一整個下午。不過,也許各位讀到這一篇的時候,確實也該備份一下妳自己的網誌了?
呃,為此操心著急的朋友們,真是抱歉了。
由 Jedi 於 April 1, 2003 06:00 PM 所發表![[HEMiDEMi]](http://Jedi.org/blog/hemidemi.png)
![[del.icio.us]](http://Jedi.org/blog/delicious.png)
![[Digg]](http://Jedi.org/blog/digg.png)
夭朽啊~ 害我半夜三更又是截屏又是切图又是KEYIN就为了帮你们在这边秀一下!
http://digiblog.org/forum/viewtopic.php?topic=400&forum=4
由 badle 發表於 April 1, 2003 05:17 PM因為愚人節也有上下班的啊。
下班前就應該揭曉,玩太絕總是過於缺德,會損失好朋友。另一方面,早一點揭曉纔有機會能夠免責吧。
由 Jedi 發表於 April 1, 2003 06:45 PMmovabletype其实并不适合做多用户blog管理系统。其中的权限管理和安全并不完善。比如upload文件,可以用../就写其他目录了。还有就是修改template同样有这样的问题。另外就是如果给用户增加自己blog用户的权限,居然他可以做其他管理员的事情。实在不好。
由 winter 發表於 April 1, 2003 11:25 PM其實沒有這麼慘。
Movable Type 上確實有一些安全上的顧慮,不過總是有方法可以處理掉。祇是妳得在事前有清楚的規劃,纔能夠防堵所有的漏洞。
例如說,把每個使用者的目錄錯開,讓她們彼此更獨立而不受影響。諸如此類。嗯,我來加一個章節好了。「網誌組態」裡的「核心設定」確實是會讓人頭疼的地方,也許可以建議 Movable Type 的作者多做一個權限設定。
另, Movable Type Pro 也許會有更好的作法。
由 Jedi 發表於 April 1, 2003 11:39 PM错开有用么?用 .. + dir-name就可以访问了。还有一个顾虑我没有试验。就是template允许用publish出php文件。这样的话,实际上是可以往系统写恶意代码并运行的。除非你的weblog目录是只能用html.
由 winter 發表於 April 2, 2003 12:15 AMwinter 的說法起碼在 2.63 是不可行的. 見 MT::App::CMS line 264:
if ($fname =~ m!\.\.|\0|\|!) {
return $app->error($app->translate("Invalid filename '[_1]'", $fname));
}
因为以前做MIS一直习惯是在保存输入的时候做校验,检查输入是否合法才允许写入数据库。而MT的做法是发布的时候校验,输入的时候不检查的。我看见可以保存成功,就觉得纳闷了。另外,关于php的问题,你们有这样的担心么?
由 winter 發表於 April 2, 2003 08:56 AM
| 
|
