最新网址:m.llskw.org
第28章 (第1/3页)
入侵过太多的站点,以至于他没有为自己的这次得手有 任何的沾沾自喜,事实上他取得的成绩比他预先期望的还要好,而 且还会越来越好。他紧接着发现了为雇员搜索站点时设计的嵌入式 搜索引擎。他说,”系统管理员通常没有将这些东两进行适当设置, 他们允许你做一些本来要禁止的搜索。“在这里正是这种情况,Adrian将他们的这个”恩典“叫作”致 命的一击“.某个时报系统管理员在其中的一个目录中放置了一个 实用程序,允许所谓的自由形式的SQL(结构化查询语言)査洵。SQL 是大多数数据库的脚本语言。就是在这种情况下,一个对话框弹了 出来,允许Adrian在非授权的情况下直接输入SQL命令,这表示 他也可以任意地且直接地查找系统里任何数据资料,摘录或更改入侵的艺术曰息。
他发现邮件服务器运行在Lotus Notes上。黑客们都知道Notes 的旧版本允许用户浏览系统中的其他数据库,而时报这个部分运行 的正是旧版本的Notes.Adrian无意中发现的Lotus Notes数据库给 了他一个”最大的意外,因为里面包含了全部的报刊摊位主的资料, 他们幵设的账户及社会安全号码“,”这里也有订户信息,还有有 关服务投诉或咨询的信息。“问到时报运行的是什么操作系统时,Adrian说他不知道,”我 并不那样看网络“,他解释说。
这与技术无关,而与人以及他们怎样设置网络有关。很多人容 易被揣测,我一次又一次地发现人们用同样的方式建造网络。
许多电子商业站点在这点上犯错误。他们总是想像人们会用正 规的方式登录,没有人会不按牌理出牌。
因为这种可预测性,聪明的入侵者可以在在线的Web站点输 入一个定购单,经历购买过程,进入需要进行资料校验的位置,然 后倒退回来,修改账户信息。黑客得到商品;而另外的人用信用卡 支付(尽管Adrian详尽解释了这个过程,但他特别嘱咐我们不要对 此有太多描叙,以免其他人效仿)。
他的观点是,系统管理员通常没有考虑到入侵者的想法,这使 黑客的工作变得比较容易。这也可以解释他能进一步渗透时报计算 机网络的原因。内部搜索引擎不应该能搜索到全部站点,但它却是 如此。他发现一个建立SQL表格的程序,这个程序允许他对数据 库进行控制,包括对摘录信息进行分类。然后他需要在那个系统中 找到数据库的名称,从而寻找有意义的资料。用这种方式,他找到 了一个非常有价值的数据库,这里显示了《纽约时报》所有员工的 用户名和口令的清单。
事后显示,这呰口令都相当简单,大部分是个人社会安全号码 的后四位数。并且进入公司要害部门不需要额外的口令--即员工 的同一个口令在系统内的任何地方都可以使
(本章未完,请点击下一页继续阅读)
最新网址:m.llskw.org