重要通知:域名变更为m.bxuu.net请收藏
后,他们终于发现,罪魁祸首正是论坛程序的原因。经过进一步确认,发现有人正在利用论坛程序的一个漏洞对服务器进行攻击。
管理人员及时做出反应,将论坛关闭,取而代之的是一个论坛关闭通知页面,对外称:论坛程序又被人发现新漏洞,对方正利用此漏洞对论坛发动攻击,故出现了这重情况,请大家暂时稍等,技术人员正在努力排除故障……
原来是这样!大家恍然大悟,纷纷猜测这次到底又被发现了什么漏洞,到底是哪个牛人这么厉害,竟然让黑客学院挂牌。对于黑客学院的解释,他们都很理解,黑客学院作为国内技术方面的权威,对此类情况并不故意隐瞒,相反,每次都如实公布出来,让大家知道,这点并没有降低大家对黑客学院的信任,相反,大家对黑客学院的这种做法还非常赞赏。作为技术人员,他们都相信——理论上是不存在绝对安全的系统或程序的。由于个人原因或者时代的原因,总是存在一些在所难免的疏忽,一个小遗漏往往就会造成非常严重的后果。就算是你编程的时候是正确的,可是随着技术的发展,以前的牢固的安全措施在后来也许就变成了“漏洞百出”。所以说出现此类情况是不可避免的,更何况这是在论坛程序开源之后。大家都非常理解,除非是那些什么都不懂,只知道看热闹的菜鸟。
最后查明,这次时间是因为论坛的短消息发送次数未限制而引起的。在源代码中,对论坛短消息的发送时间间隔并没有做限制,也就是说可以连续不断的给某个用户发送短消息——消息炸弹。用简单的脚本程序编写一小段代码,然后运行,持续发送短消息,时间长了之后,服务器的空间和资源都会被严重消耗,严重时还会导致拒绝服务的出现。
查名原因之后就很好处理了,短消息发送的时间间隔可以用PHP的SESSIN或者KIE来限制,只加入少少的两三句代码就将这个漏洞补上了。
黑客学院很快就恢复了正常运行。技术人员宣布,在两天之后将公布此漏洞。这是黑客学院的管理,这两天时间是用来给各大网站站长以反应的时间,在此期间,各论坛管理员都会收到打补丁的通知,这样可以尽大限度的减少此漏洞带来的损失。
这个漏洞的发现者并没有出现,危机被解决之后,他就消失了,虽然大家都想知道他是谁。当然,大家也认为,这个漏洞的技术含量过低,也许正是因为这个原因他才没有出来“表示负责”。