KeyFansClub
夏影. - 2010/3/6 15:58:00
昨天看了《泼盆冷水》的今天都请去改密码。真相:昨晚在研究代码的时候发现了论坛的另一个xss漏洞,虽然危害不如之前那个大,但是由于这个漏洞不需要任何技术手段就能利用,所以自依然有很大的危险。不过在反映漏洞之前因为没有证据所以我在那个帖子里试行了一下,收集到了漏洞危害的样例。准备以此作为反映漏洞的证据。我一直以来都是要拿到凭危害性与可行性的证据与来反映漏洞的。所以昨晚我在反映之前那几个已知漏洞的时候也连带着收集了新发现漏洞的证据。大体上漏洞可以通过xss获取当前用户的cookie并记录。事实上如果利用不当是可以钓鱼甚至挂马的,在这一点上它的危害却要比之前五个更大,所以非常有必要提高警惕。出于这个原因我觉得这个漏洞必须要反映,今天晚些时候我会和粘土火星和陈大就这个漏洞反映的。那个脚本仅仅进行了记录cookie的操作,没有其他任何挂马之类的行为,如果大家不信的话可以自己查一遍毒,关于这个我一会也会去反映的。对于不知情地被我利用来收集漏洞危害性证据的所有人表示最诚挚的歉意……
Dangoo201723 - 2010/3/6 16:04:00
好不容易要转型的茶餐厅为啥被LZ搞得这样乌烟瘴气了.....
这是茶餐厅危机吗?汗.....
goodbest - 2010/3/6 16:04:00
呵呵
夜澜*梦 - 2010/3/6 16:05:00
呜呜,团子同学,我同问……
看来我得愁云满面的去上学了……
watashia - 2010/3/6 16:06:00
老师,快报警快报警啊!!!!这个绝对要报警!
风の街 - 2010/3/6 16:07:00
LZ真的觉得KFC是什么大论坛会遭到各界黑客攻击?或者说这个KFC的账号非常有利用价值?个人建议LZ这种没事找事做的做法还是省省吧,有时间搞这个还不如去多弄弄功课。
PS:少晒晒下限…
PS2:LZ是伪善者
水羊 - 2010/3/6 16:07:00
唉......希望牡丹神能保佑我.......
Dangoo201723 - 2010/3/6 16:10:00
嘛...ls水羊果断失误了...变第7了..前排没了
Prz - 2010/3/6 16:10:00
LZ,你的帖子我都不敢直接点开看了...
我是用另一个浏览器游客登陆看你的帖子,然后直接粘回复页面URL来回复的。
只能提醒你一下,你这种做法的危害性...你也看到了...
你现在就算想要"从良",保证再也不做了,大家也可能会难认同了。
现在你最好封印此ID和其它已知的马甲,然后换个新的ID,别再干这种傻事,我们就当你是个新人好了。
夜澜*梦 - 2010/3/6 16:15:00
好不容易看到茶餐厅新帖即将超百...
可某就是很郁闷了……
kameu03 - 2010/3/6 16:19:00
:Tuzki6::Tuzki6::Tuzki6:...
為什麼你的证据永遠都是大殺傷力武器...
難道lz不明白狼來了的故事...如果還相信你我會怪自己笨的。
p.s. 老實說...LZ的第一句真是太有才了
p.s.2 嘛...本來已經很笨...再笨一點也沒關係了
夏影. - 2010/3/6 16:34:00
算了…… 刚发现我已经成了大家一致谴责的对象了。
我不再申辩什么了,确实由于我的行为导致许多人受了伤害,我一开始确实没有想过。我自认为我找论坛的漏洞是为了论坛的安全性,然而我确实是考虑得太幼稚了。在之前那段事之后,我以为只要不去乱改数据,就不会影响到其他人。然而正如之前陈大说的那样,这里不是技术论坛,许多不经意间的举动都可能会导致很多问题。虽然我本人一开始确实没想到,然而我的所作所为已经确实让许多人都很受伤了。
正如水羊所讲,他不能原谅我,事实上我现在也不能原谅我自己,即使现在再想,学习计算机的过程中我感性的那部分恐怕早已消失殆尽了,一直过分注重于知识与实际的东西而从来没有想过人际关系之类的事。我忽然想道到,如果我从来没有学习过信息技术,现在的状况又会是什么样子呢?可能我会很正常宅在家里,快快乐乐地融入这个集体,在论坛上和大家愉快地聊着天,那样不是也很好吗?
或许正如startear所说,我的价值观已经被扭曲了。我已经失去了与人感性交流的能力,一直认为知识大于一切,不能考虑到他人的想法与人情世故。相信学信息技术的人有很多,但是没有人会像我这样扭曲成这样。在技术论坛,我可以毫不脸红地自认为是一个好的管理员,然而这样的想法并不能放到KeyFC这样的地方。我更痛恨现在的自己,竟然能在无意识间就伤害到这么多的人,甚至已经严重到被骂的程度,严重到不能得到原谅的地步。
也许像我这样的人,真的不适合在正常的人际关系中呆下去吧……
就像别人所说的那样,“如果你没有出现过该有多好”……
道歉可能并不能得到原谅,但是我在此依然想要再道歉一次。向所有被我伤害了的人,不求原谅,你们有无数个理由可以恨我,然而也许除了道歉,我已经什么都做不了了……
大家,真的……对不起……
watashia - 2010/3/6 16:38:00
不用道歉了,出门右拐有网监处,自己投案吧 _,让警察叔叔们指导指导你应该如何遵纪守法,然后再来汇报下学习心得,这样这节就算你过去了吧。
粘土火星 - 2010/3/6 16:55:00
Google和百度最大的差别不是技术的差别而是做人的差别,没有人是完美的,包括Google也有很多问题,但不得不说前者的境界远远高于后者,你一个高中生我想还来得及,以后还有很多时间学习,不单单是技术的问题,看一看人文或者社科类的东西对你的好处有很多。
dunkelwyvern - 2010/3/6 17:01:00
其实你有能力的话应该向更高目标发展,不要总是和这里的一些小众纠结。
况且程序技术方面这里真的不太会有志同道合者,只谈谈GAL就够了
夜澜*梦 - 2010/3/6 17:01:00
夏影,听说过你制造的上一次黑历史,不过我没亲身经历过,那段时间恰好都没怎么上网,所以也不清楚到底造成了怎样严重的影响。但上一次你也有诚挚的道歉,且以为你真的是知错了吧。
可是这次的事件我却时时看在眼里。看了你的道歉贴,我也甚至不清楚你是真的知错了还是假的。或许大家的语言都有些激动,但那毕竟都是出自对KFC的爱,觉得你在伤害它,所以大家都很不爽。而你自己却以为自己并没有伤害它吧……
只是你不知道,你伤害到的是茶餐厅和谐的氛围。伤害到的是大家已经接受你的道歉重新接纳你的信心。所以才会这样。
谁都不想事情变成这样的,我也不想看到大家一起攻击你,只是大家都似乎无法原谅你了。
说实话,做到这个程度确实是可悲的。
你的好意里带了私心,这点你也不要否认了。而自从发现你的相册里有恶意脚本之后,我想大家连那是不是你的好意都不知道了。
也许相信你对KEY的爱,只是你爱的方式不对吧。
如果你真的还愿意回来,请你重新开始,像你说的那样,开心的和大家聊天就好了。
要知道你现在需要的也许不是大家的原谅,而是时间和行动,去告诉我们你是值得原谅的。
我是以一个平辈人的身份说这些的,希望你能理解,并且思考一下你所做的事情的意义和你想要的。
以上~
Koori - 2010/3/6 17:27:00
啊!夜澜*梦也好,西瓦也好,风大也好,老陈也好或者谁都好,你们太宽宏大量了,宽容到了我都受不了的地步=A=
哎……说实话,我很难跟这个家伙过的去,如果是一个宿舍的话,就肯定要有一个人出去……不,是肯定要变成要不然这个宿舍他自己住要不然我们就都搬出去……也不对………………反正反正反正反正反正!反正肯定是有他没我的境地了!
算了,既然看了就去回复吧,顺便等会再改一次密码——我还是多防备一下吧~
逆刃 - 2010/3/6 18:05:00
完全技术盲的经过,虽然不懂,还是感谢LZ的,不管怎么都是在为了Keyfc越来越好
傻俊〞 - 2010/3/6 18:12:00
..........難道要繼q群的討論後...
又要在這貼來個正式的爭論嗎....??
我不希望這樣...
也不要這樣......
OST社长 - 2010/3/6 21:26:00
本社表示无所谓。
你爱挂马挂马,爱抓肉鸡抓肉鸡,老子就这一个号,电脑什么的无所谓,大不了老子把号和电脑都换了。
夏影行为完全是无意义的,并且说明,你不配有这个名字,你这是对《夏影》侮辱。
鄙视之。
Crescent - 2010/3/6 21:55:00
看来KFC还是好人比较多 但有时候不强硬还真就没有效果 咱很坚决的一票投在瓦瓦和克里这边 咱表示要么别让咱再看到这种"好意"了 要么别再让咱看到你了 天知道管理员能查出多少个同IP的MJ 又有谁知道管理员工作回来看到论坛又有什么事等着他那时候的无奈
PS:这只是善意的提醒 绝对只是提醒 请那些一口一个号不重要的同学重视下自己在KFC的帐号 如果在这里找到了归属感 那这个帐号绝对有让你对这些不良行为发表抱怨和批击的价值 这确实只是一堆1和0 但也是一部分的自己或自己的另一面不是么 至少那些时间都是你对不良行为发表不满的理由和资本 请更重视自己的帐号吧 这并不只是纯粹的1和0
nemoma - 2010/3/7 0:41:00
TO 楼主
你的技术很不错,但是技术不是这么用的,道德永远高于技术。
咱现在的很多Project(Project Tokiwa 和 Project THMON B)都缺技术人员,楼主如果有兴趣做做Spambot防范或者补漏洞的话可以联系我。(不过咱的这些系统可不是Discuz那些啥的技术含量能比的……嗯……)
还有,你说你已经提交了漏洞,请贴出Discuz官方论坛上提交漏洞的帖子作为证据……
嘛,就这样了吧……(咱是不是太善良了点……不过克里的想法咱还是不能认同。
小草 - 2010/3/7 1:55:00
夏影同学已经疯了,听不懂人话了,告诉他kfc有没有漏洞不关他的事,请他不要继续找,就这么简单,你啥都不干就行了,他不听,也不停,一边假惺惺道歉,一边继续黑着系统。
不,你不用道歉,你要真的觉得抱歉,就不会第一次揭发以后还在接下来的几周反复利用漏洞登入很多人帐户,你的ip段一直都被跟踪着,你干了什么都记录下来了,懒得再反反复复说你罢了,你一瓶子不满半瓶子咣当的小毛孩还没完了;你要是真的觉得抱歉,就不会在嘴上说着好意提醒但是却给论坛上挂上恶意代码,好意提醒一定要挂个木马来提醒么,不,这是你自己的恶意行动,你为什么没有选择不挂木马而选择了挂木马,从这一点来说不管论坛喜不喜欢你就已经是个非常没有职业素养的网络安全人员了,真业余;你以为别人都是傻瓜就你最聪明么,你以为论坛有什么漏洞论坛不清楚么,这系统漏洞多了去,谁有闲心去一个一个补,要不你有时间有热心你来补?
不用你道歉,没人真的在乎你的啥道歉,说实话,没人真的在乎你这个人是啥人,说吧,你是接着干,还是不干了,前者你这里不受欢迎请走人,后者你想留下发帖发帖,这里不欢迎任何以发帖之外为目的的人。如果必要封了整个北京地区的ip,看看让这么多人受你牵连是不是让你很开心?
最后,你要是想黑,就直接说想黑,别假惺惺了,看了让人恶心,不让你在这里看漏洞如果你做不到,就没有必要说那么多,也没必要道歉。如果回答不了以上的问题,你一句话也不用多说了,除非你能停止这种所谓的好意行为,否则以后见到你的提醒帖子直接删除,没有兴趣知道你提供的任何信息,见到你的马甲直接删除id,没有兴趣见到你这人,见到你使用的ip或者代理直接屏蔽访问,没有兴趣给你访问链接。
好吧,来吧,就这个简单问题选项:不继续在这里寻找漏洞,还是你还要继续干?选一个吧,其他不用多说,不管你有什么理由和借口,就要个这么简单的答案。
游垅 - 2010/3/7 3:21:00
题外话: 话说又看到这帖 还是再次上来的
介于对该帖还没回复过就说下个人见解
LZ曾经的"夏影"或许是个当时充满着对key的热爱
但自从那次的事件
不管怎么说你的做法都是不对的
虽然你也多次道过歉了
但实际上你心里怎么想的就不得而知了
但我们,kfc,包括那些因为你的所作所为而十分头痛的管理人员们
都原谅了你
希望你只是年少无知
只是一时冲动并已真正认识到自己的错误并改正了
所以继续让你在kfc里
而且也不计前嫌地欢迎你
但这次!
这次你所做的完全太出格了
这已经不是什么发现漏洞想修复之类的就能填补过去的
你已经彻底超过了底线
LZ根本就是个 伪善!
我不再想相信你了
有一次还来第二次
而且是变本加厉,没有任何一点悔改意思
嘛..算了
我就送你句今天刚听到的话 (还真没想到会有那么巧的事, 当时听到的时候还以为永远都不可能会用到的..)
有道不练去练剑(贱)
金剑不练练银剑
上剑不练练下剑
最后恭喜LZ终于登峰造极
人剑合一
成为贱人
另: 这次都成这样了 为保证kfc的安全 建议屏蔽ip吧 (或有效性的..这也算是个首例吧..)
laputachen - 2010/3/7 9:49:00
夏影同学已经和我私下沟通,要点如下:
1. 一个人有资格“诚挚的道歉”的机会有限,通常只有一次,后面则不那么管用。夏影在上次“诚挚的道歉”后没几天,就继续利用PM漏洞登录他人账户,利用他人账户评分,这直接导致了管理层决定升级论坛系统。(虽然根本原因还是原来的DNT2系统bug太多功能不够,迟早要升级)
2. 夏影同学有很多自己的想法和“觉得”,这些想法在逻辑上自洽,符合他自己的规则,在某些圈子内可行。夏影认为上次“诚挚的道歉”主要是针对他“破坏论坛规则”,而他认为只要不破坏论坛数据,不恶意乱评分看别人短消息等,就在规则之内。夏影现在明白这是一种“狭隘的理解”,但他也知道很难再让各位相信他将来不会继续“狭隘的理解”其他事情,是自作自受。
3. 夏影认为这次“没想到会这样”、“搞砸”,是因为他微观上剧情选项的失误,如果选对了选项就没事了。比如在上次“诚挚的道歉”之后,他又擅自测试发现了漏洞,这时他选择私下PM漏洞告诉管理员,或者选择发个帖只说“有漏洞”而不说细节,而不是选择贴图展示成果,或至少不要用水羊的图做例子,就不会得罪那么多人,就不会有那么大事。
4. 微观上剧情选项不同,确实会导致剧情发展不同。但夏影同学始终坚持自己的规则,始终只在自己的脑海中“觉得”,只用自己的技术思维方式脑补其他人的想法,而不去真正的设身处地考虑他人感受,不去考虑自己的规则之外的规则,无论他微观上如何调整选项,结局始终是个bad end,这件事不搞砸,其他事也会搞砸。不沉下心真诚的去发帖交流,而总是自己设想与管理员的斗争,晒技术能力寻找战胜管理员的优越感,始终不可能在KeyFC开心。
5. 夏影同学如果想要留在KeyFC,除了道歉之外,需要做出承诺他以后会如何改变。我们希望夏影在KeyFC做一个技术小白,忘记自己会技术,不要再去搞技术测技术练技术,而从一个感性的角度融入KeyFC。同时,对人做出的伤害,短时间内是无法消除的,夏影同学不能着急在KeyFC马上恢复影响,而需要在未来几个月的时间潜水,默默的观望一段KeyFC,看看KeyFC的历史,然后在一个合适的时机以合适的方式重新出现。夏影同学在本贴做出承诺后,会沉下一段时间,我们希望他去专心学习准备高考,最好是高考后再回来。
6. 夏影同学对KeyFC的感情是真实的。在他混的论坛中,对KeyFC的喜爱排第二位,排第一位的是他自己只有若干成员的内部技术论坛。
Koori - 2010/3/7 10:39:00
这也就是老陈要求了,所以我不骂LZ,不过你懂的,你对水羊的伤害咱都记在心里,谁让我心眼小呢……
但对于老陈写/引用的第四点……我想说一下看法:你晒不晒技术的我不管,但是别拿别人来玩,别人都不是你手上的玩具。而且有些事情说实在的,你教别人怎么能够原谅呢?一个罪犯伤害了别人,就算是坐了监狱几十年,从心底里悔过刑满出来,如果再度被当事人见到了,当事人会想要宽恕你的罪孽么?你只能让很多人看到你觉得又解开了快要好了的伤疤!
我真推荐你放假以后看看《犹太医生》,这个犹太女人在集中营的时候一直为了保护同胞们找寻德国人规定的漏洞然后予以“反击”,她曾经因为“漏洞反击法”和卓越的医疗能力救下了数多人。但最后饥荒来了,为了活命,她优先为给她一大笔钱的德国女人看病,就这样一个犹太女孩因为治疗不及时死了。20年后这个女医生想在美国申请接生执照,但是在委员会审议的时候,她遭到所有集中营里犹太人的反对——原因就是她帮助纳粹!那个死去的犹太女孩家属在集市上看到了她,不由分说大打出手,一边打一边喊“杀人犯!就是你杀了我的妹妹!!”
犹太女医在每天的忏悔中都会说“我只是为了活命,我也是人,为什么为了活命也会成为一种罪恶?”
楼主肯定也是这个想法吧?“我只是为了KeyFC好,我希望能够有人重视一下,但是为什么我为论坛做了这么多大家都觉得我是坏人?”其实原因很简单,你认为对的事情实际上并不意味着你的观点就是正确的。就好比希特勒搞种族消灭,他认为人类只有保持纯正的最优秀的血统才是对的,可最终呢?他还是错了——而且他也办不到。插入一句:你和那个犹太医生不一样,那位医生是不得已只能这样做,你是因为“不得已”才必须测试这些漏洞么?完全不是!
天朝有句话叫“人就怕犯错”。很多人只因为一个错误就造成以后对他的不信任,而且这个人往往将来也很难得到认同——或者,他要付出更多更努力,背负的更多,才能艰难的得到认可或“审查”。我以前总觉得为了论坛好如何如何,也在论坛口沫横飞,但最后怎样?都是蛋疼,最终还是我错了,甚至我做的很多事情都是多余的。当我想申请版主的时候,管理组就会去考虑,以我这个脾气,我这个看待事物的态度,合适么?——NO。
就是这样,如果这点道理再看不懂,你就算上了国办大学,你的社会能力也没能比我高哪里去,以后还是很难立足的。
另外,只用他人编写的软件来晒技术你永远都是玩的他人的技术,这不代表你很“技术宅”,也不代表你有多高端。很多所谓的“国产黑人”都喜欢用别人的代码工具来搞所谓“自己的发现”,但实际上很有可能自己在用它的同时就已经将自己推向危险的边缘。FBI网络犯罪调查科曾经在观察美国一19岁攻击雅虎网的男孩(网名“黑手党男孩”)行为中发现,这个男孩一点编程能力都没有,只是单纯的从网络上获取信息,然后攻击并在IRS上发布自己的攻击成果。最终在逮捕男孩的时候发现他的计算机内有大量病毒,可他自己却一点都不清楚。社会心理学专家最终得出结论:这种伤害他人甚至不惜伤害自己进而得到的对他不熟悉的人的掌声、喝彩与支持,就是一种可悲的心理满足感。
你下次回来的时候如果我把你忘了,你可以重新来过,当然你也可以选择继续作恶。但是如果我没把你忘了……不好意思,我依然不会对你有好脸色——当然,我只是一个普通的浏览者,对你也没什么妨碍。
我的讲话完了
========================================================
PS一下吧:
这个犹太女医生在申请过程中遭受过巨大的质疑,其中很多因为逃亡而死去的人,还有被拉去做人体实验的事情都怪罪到她的身上——你知道的,就是那些莫须有的罪名,比如犹太囚犯越狱有人告发,大家都说是这个医生干的,还有被抓去给德国人“慰安”怀孕的犹太女人是她挑的人,还有怀了德国人孩子的犹太人被拉去做解剖实验,大街也都说是医生主刀的等等……
算了,给你点希望的曙光吧……我、我可不是因为心软才说的!
最终这个犹太医生终于得到了行医执照,并且委员会准许她为犹太人接生。她后来在有生之年为500多名犹太同胞带来了新的生命。
1