作为一个SaBlog-X的用户,我是经常关注作者4ngle的博客的,这次就看到一个好玩的事情。
4ngle一直在做一个基于PHP的在线数据库管理程序phpspy,刚刚做好2008版,想请朋友们帮忙测试……不过他先把一些运行画面放到了自己博客上给大家展示。于是5up3rh3i毫不留情的开始了攻击4ngle主机的计划……
具体细节大家可以看看攻击方和被攻击方写的文章:
http://superhei.blogbus.com/logs/12289653.html
http://www.sablog.net/blog/archives/344/
虽然最后由于4ngle系统中一个料想不到的缺陷(优点?),这次攻击失败了~但还是相当有代表性的。代码非常经典,大家可以学习一下。基本上不用解释了。
另外,我对于用海量数据库破解MD5的那个想法很感兴趣,没想到像4ngle这样发文章还存在这样的风险,看到5up3rh3i的想法的时候暴汗……我居然没有想到。
关于phpspy,可以看看http://www.4ngel.net/project/phpspy.htm。关于xss/csrf,可以看看http://superhei.blogbus.com/logs/11257167.html。