“最惨”程序员做的网站,面试鸭秒变测试鸭。。
程序员,一个互联网时代的“ 落魄打工仔 ”。
他们除了要忍受产品经理的压榨,还要面对各种猝不及防的糟心事。包括但不限于服务器崩溃、改 BUG、加注释、接手同事留下的垃圾代码山等。
但好在,这依然是当下最炙手可热的职业,永远都有满腔热血的新人加入,也永远有大佬乐于分享自己的代码技术。
比如,在 B 站,你也许就见过这位叫「程序员鱼皮」的 UP 主,他常常发一些代码教学的视频,引领新人入坑。
这位 UP 主看上去脾气好,举手投足也很有礼貌,毫无攻击性,实事也确实如此。
不过,也正因为柿子要挑软的捏,最近几个月,鱼皮过得不太顺畅。
堪称一个受苦,举步维艰。
从他这个“ 程序员之耻 ”的系列视频中,我们就能窥见一些端倪。
事情,还要从 1 月 10 号的视频说起。
鱼皮建立了一个面试刷题网站,叫「面试鸭」,初心纯粹——为了帮助广大程序员面试。
网站里有各种题目,类似于驾考宝典,每个人都可以根据自己的岗位模拟面试。
但小树不修不直溜,没有一些漏洞攻击,网站的安全系统就得不到成长。
于是,几个热心网友,不在网站刷题,来帮网站“ 成长 ”来了。
比如在网页里,整一段< 鱼皮是狗 >的 xss 狠活儿注入。
或者,直接用爬虫爬了网站内 500 多页的试题内容。
而鱼皮的题库一共才 400 多页,属于是提前预判了 100 页的内容。
甚至,有人一口气刷了 20 万条灌水内容。
直接把网站干崩溃了。
最骚的是,走之前还不忘嘲讽一波。
也有些人,在网站里疯狂打广告、恶意刷评论、刷点赞数等等。
但与上面几位大哥相比,已经算是出手客气的了。
历经这次事件之后,鱼皮意识到了自己的网站有很多漏洞,急需修复。
于是励精图治,回去又改了改 BUG,进行了一个版本的更新。
本来新网站被攻击,还挺稀松平常的,整件事看着也就像一个网友们的恶搞。
但谁也没成想,这次竟然激起了大伙的胜负欲。
乃至于不少新人抛下狠话,势必要把网站撂倒,丝毫没有手下留情的意思。
然后没过两天,就有人摧毁了网站的回答区。
原因是这人在回答区,回复了一条多达 6M 大小的评论,而他光是昵称就有 3M 多。
接着自己再回复一次自己,数据量过大,评论区就炸了。
后来本人出面,表示没有恶意,就是玩玩,嗯,玩玩。
还有人克隆了一个站长鱼皮的 ID 和头像,让系统误以为这人是鱼皮自己。
这样一来,他便可以在社区内肆意妄为,发出的灌水内容,连鱼皮自己也删除不了。
更有甚者,想对网站来上一波 DDoS。
好消息是,攻击目标的 IP 地址搞错了,鱼皮的测试鸭网站没啥事。
坏消息是,一不小心误伤了另一个无辜的反馈平台。。。
至此,这位 UP 主就被人盯上了,简直是个行走的 AKA 靶子哥。
比如在某天直播里,他本想教教网友们怎么建立自己的网站。
但还没开始呢,就因为暴露了自己的 IP 地址,没几分钟,便被人用大流量 DDoS 攻击了。
现场表演了一个什么叫直播事故,弹幕里还有称赞攻击者技术高超的。
连续被锤几个月后,鱼皮实在坐不住凳子了。
正如那句俗话所说的一样,生活若将我击倒,那我就不站起来了。
所以,他干脆躺平,接受了自己的靶子人设,二话不说开摆——
专门建立了一个用来被攻击的网站。
为了让所有人都能顺利攻击自己的新网站,他甚至还配上了贴心的新手教程。
像下面这个,根据提示连续快速点击收藏按钮,就能导致网站反映不过来,而显示错误。
对于超级小白,还可以使用网站右下角的「工具包」进行攻击。
工具包里内含各种快捷选项,不少行为都能一键生成。
像生成灌水内容、营销广告、虚假内容等,点击一下就可以将内容复制到剪切板。
“ 攻打 ”起来,可以说相当方便了。
再往下一栏的「专业工具」里,则需要掌握一定的编程基础。
比如点击「查看网页源代码」,就会跳出一个鱼皮留下的登录密码提示。
如果你连网页源代码都不知道怎么打开,那鱼皮还保姆级手把手教你要点击右键查看。
顺便一提,进入源代码页面后,世超先是全局搜索了一下“ Password ”,结果啥都没有,然后又换中文搜了一下“ 密码 ”,登录密码就出来了。。。
只能说,他是真的怕我找不到,我哭死。
而成功获取密码后,在用户登录界面,就能直接用站长的密码登录了。
每发现一个 BUG,还会跳出一个解锁成就的小提示。
在网站内,表现为 UP 主鱼皮的血压值提升。
说白了,就像是一个类似游戏内的成就系统。
如果实在找不到 BUG 也没关系,因为网站内还有个攻击提示目录。
每种攻击手段下,也都会附赠一段关于如何防范的科普小知识,或是跳转到百度百科的链接。
对了,介绍网站的视频刚发出来才 3 分钟,这个“ 讨打 ”网站,就被人打得上不去了。
看到这,不得不佩服各位老哥的手速。
相信懂行的程序员们,早就察觉出不对劲了。
因为很多地方,它都算不上什么真正的黑客攻击。
但不得不承认的是,这对刚接触编程的小白来说,无疑是个预防网站攻击的新手教学。
而鱼皮的目的也是为了给大伙提个醒,真等到自己建立网站的时候,能长点记性,做好安全保护措施。
毕竟,网站被攻击可是一件家常便饭的事。
正所谓,天下没有绝对安全的网站,安全措施做得再好,也有魔高一尺的黑客,找到漏洞。
这些自命不凡的黑客们,有时候甚至不为了钱,单纯就是想证明自己的技术屌,而导致各种重要网站服务器瘫痪。
像小网站也就罢了,在一些大网站上,一次崩溃几个小时,可能就会造成成百上千万的财产损失。
想要击败对手,就要成为对手,了解对方的套路。
所以想学习网站防护,首先就得知道常见的攻击手段都有啥。
而鱼皮这位 UP 主提供了这样一个平台,那些想自己搭建网站的新手们,现在不去攻打还寻思啥呢?
不过,这也就是个战术交流,大家可别会错意。
真要再把网站搞到进都进不去,那就太不地道了。
撰文:赤膊朋克 编辑:面线
图片、资料来源:
B 站 UP 主:程序员鱼皮百度百科、云头条新闻
你对网站安全防护知多少?
你认为应该该如何提升网站安全性?
点个❤咱们一起聊聊~
其实我觉得这个网站的安全性也高不到哪里去诶,
光是肉眼可见的漏洞就好几个了。
@Dirichlet: 这还只是前端的代码漏洞,后端我还没怎么试过
@Dirichlet: 据up主本人说,这个网站是熬夜赶出来的,想着快速上线先给大家看起来,所以除了实现功能外基本没有做任何额外的保障🤨
@Dirichlet: 哈哈哈哈
@Dirichlet: alert("鱼皮是狗");
哦耶
@高考必胜: 考试加油!!等你好消息!
我对互联网上的东西不了解,哈哈
@笙笙: 那就读一读开心一下(●ˇ∀ˇ●)
我特意去用了,卡到不得了
@没想好名字: 哈哈哈这是被攻击到不行了
要是我也能编程就好了
@秋殇: 业余时间找视频学起来呀~
window.alert("你好,饼干画报")
@饼干画报: 哈哈哈
@饼干画报: 你这学到了啊
晚上下班回去试试这个网站安全不安全
@憨憨程序员: 哈哈哈哈专业人士来啦(●'◡'●)
这是一个好人
我关注了鱼皮😎😎
啊对对对,现在高端 “克隆技术”到处“风起云涌,那啥腾讯课堂里,天天有人”克隆“别人,聊天区就成了《福尔摩斯探案集》,一波未平,一波又起。真不知道他们咋想的(克隆别人的人)
@蓦么: 风起云涌后面漏了个”
@蓦么: 人性真可怕
外行看热闹,内行看门道。这就是个了解基本安全知识的网站
好有趣的up主啊
野蛮攻击 是行业结构氛围 没有价值 的结果 。
的力量
太搞笑啦鹅鹅鹅鹅鹅鹅
@圆又圆: 哈哈哈我有一个前领导姐姐也叫圆又圆!
网站后台已经搞定
好家伙,我学学然后攻击饼干画报(doge dogedoge
@饼干小猪: OMG,那可就不是乖小孩辽