摘要：從最大的同性社交平臺(tái)獲取數(shù)據(jù)好了，言歸正傳，回到題目。烏云密布的爬蟲(chóng)百度網(wǎng)盤(pán)這件事，是我不想看到的，這類(lèi)安全問(wèn)題的一個(gè)共同特點(diǎn)用戶(hù)自身確實(shí)存在問(wèn)題。

本文作者：夏之冰雪，i春秋簽約作家

《我在百度網(wǎng)盤(pán)上看到上萬(wàn)條車(chē)主個(gè)人信息,企業(yè)、政府高官信息、各種數(shù)據(jù)庫(kù)和無(wú)窮無(wú)盡的盜版》，一時(shí)間，這篇文章就火了，火爆程度另百度猝不及防。

其實(shí)呢，這事真不能全怪百度，畢竟用戶(hù)分享出去了。之所以引起這么大轟動(dòng)，主要是因?yàn)橛脩?hù)的文件本身，什么數(shù)據(jù)都有，導(dǎo)致這次危害或者說(shuō)恐慌，進(jìn)行了放大。

每一次危機(jī)過(guò)去之后————
普通人，只會(huì)對(duì)其津津樂(lè)道；
有能力的人，會(huì)思考如何避免再次發(fā)生；
而開(kāi)拓者，則會(huì)洞察整個(gè)形勢(shì)。

百度網(wǎng)盤(pán)泄露事件留給了我們什么

百度事件發(fā)生，得到消息的人會(huì)趕緊確認(rèn)自己的隱私文件是否被分享，然后盡快取消分享保證安全。一周過(guò)后，風(fēng)波也就散了，基本就沒(méi)有什么話題或者新聞了。

這里我拋出一系列問(wèn)題：

除了百度網(wǎng)盤(pán)，還有沒(méi)有其它類(lèi)似的問(wèn)題？

遭受泄露的用戶(hù)群體，有哪些通性？

從事技術(shù)行業(yè)的人，更具備敏感意識(shí)么？他們是否更大程度避免發(fā)生這類(lèi)問(wèn)題？

本篇文章不會(huì)給出答案，因?yàn)檫@是開(kāi)放性問(wèn)題，沒(méi)有絕對(duì)的答案。上面這幾個(gè)問(wèn)題，目的是為了讓大家?guī)е伎既タ聪挛模螅憧赡軙?huì)對(duì)百度事件，有一個(gè)更全面的認(rèn)識(shí)。

從最大的同性社交平臺(tái)獲取數(shù)據(jù)

好了，言歸正傳，回到題目。題目不是噱頭，毋庸置疑github是全球最大的同性社交平臺(tái)，這篇文章，我會(huì)通過(guò)github向大家展示一種攻擊思路，以及我的一個(gè)成果：

我有幾千個(gè)github賬號(hào)和密碼（確實(shí)沒(méi)有上萬(wàn)，不吹牛逼，該多少就多少）。

幾千個(gè)賬號(hào)，說(shuō)多不多，說(shuō)少不少，所運(yùn)用到的技術(shù)原理————基于爬蟲(chóng)的數(shù)據(jù)攻擊，這方面的研究（不知道算不算學(xué)術(shù)）差不多有一年多了，我會(huì)把可公開(kāi)的內(nèi)容展示給大家，研究的結(jié)果還不是很成熟，歡迎大家在下面回帖討論，很樂(lè)意與大家交流。

在github平臺(tái)，用戶(hù)需要輸入賬號(hào)和密碼登陸，而賬號(hào)可以輸入郵箱也可以輸入github的用戶(hù)名。

github用戶(hù)名就是所謂的git賬號(hào)，這個(gè)是對(duì)外公開(kāi)的，查看個(gè)人主頁(yè)，或者查看代碼時(shí)候，都會(huì)在比較明顯的地方顯示用戶(hù)名，通過(guò)用戶(hù)名可以直接登錄github。比如這個(gè)哥們，他叫Sushil Thasale，而他的github賬號(hào)是sushil-thasale。

賬號(hào)很容易得到，那么密碼怎么才能知道呢？直接上圖！

這是某個(gè)用戶(hù)的密碼：

這是這個(gè)用戶(hù)的登陸后的頁(yè)面：

這個(gè)用戶(hù)名字是四位，很好的賬號(hào)——jv98，他的密碼很復(fù)雜：

這是登陸后的個(gè)人主頁(yè)：

其實(shí)我們還能知道用戶(hù)的郵箱，這個(gè)用戶(hù)的郵箱是Oliver.andersson.te14c @ gmail.com，如此復(fù)雜，他的密碼卻很簡(jiǎn)單：

個(gè)人賬戶(hù)設(shè)置頁(yè)面，我可以悄悄地加一個(gè)郵箱進(jìn)行監(jiān)控：

再給一個(gè)2013年就注冊(cè)的賬號(hào)和密碼：

登陸后的個(gè)人主頁(yè)：

好了，不曬圖了，這種賬號(hào)確實(shí)有幾千個(gè)，而且有好多都是github的重度用戶(hù)。

細(xì)心的讀者應(yīng)該已經(jīng)發(fā)現(xiàn)，我是怎么找到他們的密碼的了。所有密碼截圖，都是來(lái)自他們自己上傳到github項(xiàng)目的代碼里，所有截圖都是代碼截圖。我利用了github的搜索技術(shù)，搜索到一堆想要的賬號(hào)和密碼，然后進(jìn)行登錄嘗試，登陸成功的我就記下來(lái)。

那么，怎么搜索才能找到呢？

充分利用開(kāi)源項(xiàng)目，開(kāi)源項(xiàng)目有固定的存儲(chǔ)密碼的位置，比如php語(yǔ)言的wordpress，密碼存放位置在根目錄下的wp-config.php文件中，代碼內(nèi)容define(‘DB_PASSWORD’, ‘password’)。

開(kāi)源項(xiàng)目有很多，就拿php語(yǔ)言來(lái)說(shuō)，就有wordpress、joomla、phpcms、discuz等。

利用搜索技術(shù)，比如同時(shí)搜索多個(gè)關(guān)鍵詞define，DB_PASSWORD，篩選語(yǔ)言為php，基本就能列出所有wordpress的密碼了。

善于利用搜索技術(shù)，對(duì)于密碼為空的要過(guò)濾掉，對(duì)于密碼為####、*這種的也要過(guò)濾掉。

以上操作，千萬(wàn)不要手工，開(kāi)頭我都說(shuō)了————基于爬蟲(chóng)的數(shù)據(jù)攻擊，所以我們要寫(xiě)爬蟲(chóng)，自動(dòng)爬取github數(shù)據(jù)，然后通過(guò)正則匹配篩選掉不想要的數(shù)據(jù)。

這里的核心就是爬蟲(chóng)，以及過(guò)濾。過(guò)濾技術(shù)用得越好，數(shù)據(jù)越有價(jià)值，爆破的時(shí)間成本越低！

除了過(guò)濾掉常見(jiàn)的password、####、、空密碼等，還有一個(gè)細(xì)節(jié)一定要注意：

沒(méi)錯(cuò)，github密碼有要求的，所以我們可以寫(xiě)個(gè)正則，只保留符合 github 密碼要求的，這樣我就拿到了一堆價(jià)值數(shù)據(jù)。

然后再用python寫(xiě)個(gè)程序，模擬登陸github就可以了。

最后再展示一個(gè)github項(xiàng)目比較多的賬號(hào)：

為了避免引起額外信息泄露，暫時(shí)無(wú)法提供更多深入的數(shù)據(jù)和完整的爬蟲(chóng)框架腳本。

坐擁這些賬號(hào)，目前我能想到的賺錢(qián)方法就是，收費(fèi)幫別人的項(xiàng)目點(diǎn)贊。

網(wǎng)絡(luò)安全從業(yè)者與爬蟲(chóng)技術(shù)

爬蟲(chóng)技術(shù)本身，并不能實(shí)施黑客攻擊，也不能直接與安全連在一起。

但是縱觀很多安全方面的東西，卻又都離不開(kāi)爬蟲(chóng)技術(shù)：

百度網(wǎng)盤(pán)數(shù)據(jù)泄露，爬蟲(chóng)惹的禍。

某企業(yè)存在通過(guò)id泄露數(shù)據(jù)，我們可以編寫(xiě)爬蟲(chóng)批量掃描id獲取數(shù)據(jù)。

某網(wǎng)站權(quán)限配置不當(dāng)，導(dǎo)致在特定情況訪問(wèn)登陸后的頁(yè)面，這時(shí)候也可能需要寫(xiě)爬蟲(chóng)。

wvs等安全工具，嚴(yán)重依賴(lài)爬蟲(chóng)，通過(guò)爬蟲(chóng)爬取網(wǎng)站組織架構(gòu)。

探探app，兩年前我就玩過(guò)，含有大量美女，我的第一反應(yīng)不是感不感興趣，而是悄悄地寫(xiě)了個(gè)爬蟲(chóng)，獲取了大量圖片，而且我還發(fā)現(xiàn)他們防色情做的不嚴(yán)謹(jǐn)。（開(kāi)個(gè)玩笑）

寫(xiě)到這里，大家應(yīng)該明白了，為什么我強(qiáng)調(diào)爬蟲(chóng)的重要性了。

另外，爬蟲(chóng)可以使很多事情變得有趣，只要肯琢磨，腦洞足夠開(kāi)，我們完全可以實(shí)施很多攻擊。

從過(guò)來(lái)人角度說(shuō)一下，自己的成長(zhǎng)蠻有意思的，從爬蟲(chóng)起家學(xué)技術(shù)，中途又在公司從事過(guò)接近一年的數(shù)據(jù)挖掘，這兩個(gè)技術(shù)的結(jié)合，給我的學(xué)習(xí)和研究，帶來(lái)了很多興趣。

當(dāng)你具備爬蟲(chóng)和數(shù)據(jù)分析時(shí)，你真的可以去改變一些事情。

烏云密布的爬蟲(chóng)

百度網(wǎng)盤(pán)這件事，是我不想看到的，這類(lèi)安全問(wèn)題的一個(gè)共同特點(diǎn)：

用戶(hù)自身確實(shí)存在問(wèn)題。

從嚴(yán)格意義上講，這個(gè)不是漏洞。

企業(yè)在修復(fù)時(shí)，處于下風(fēng)，甚至無(wú)能為力、無(wú)法修復(fù)。

就拿github這個(gè)例子來(lái)說(shuō)，除非我把github幾千個(gè)賬號(hào)發(fā)出來(lái)，github把每個(gè)人賬號(hào)都凍結(jié)。

我只是嘗試了一些開(kāi)源項(xiàng)目，還有很多項(xiàng)目我沒(méi)有實(shí)施爬蟲(chóng)攻擊，比如facebook的redmine項(xiàng)目等，很有可能這些項(xiàng)目代碼里，也有密碼泄露。

真的沒(méi)辦法根治！未來(lái)，我擔(dān)心會(huì)有越來(lái)越多的安全問(wèn)題，屬于沒(méi)有辦法根治的，卻存在極大安全隱患的。就好比，我生大病了，我卻不知道怎么治，你說(shuō)問(wèn)題嚴(yán)重么？

只說(shuō)結(jié)論：

腳本執(zhí)行了一個(gè)下午，我便擁有了幾百個(gè)阿里云服務(wù)，其中不乏性能很高的服務(wù)，不乏百萬(wàn)數(shù)據(jù)級(jí)別的redis服務(wù)，也不乏企業(yè)服務(wù)。這些服務(wù)里面的數(shù)據(jù)，我不知道有多少價(jià)值，泄露會(huì)引起多少恐慌，因?yàn)槲乙粭l都沒(méi)看過(guò)。

這是提交給阿里云之后，阿里云的修復(fù)建議（很早之前的短信了）：

我的同事、朋友們之中，都有收到阿里云的這條短信。嗯，沒(méi)錯(cuò)，因?yàn)槁┒幢旧碓醋杂脩?hù)自己的數(shù)據(jù)泄露，只能通過(guò)短信提醒用戶(hù)。

是不是和百度網(wǎng)盤(pán)泄露，有相似之處？

就寫(xiě)到這里吧。。。

安全漸遠(yuǎn)漸行，卻總有一些無(wú)能為力的事情發(fā)生，絲絲的痛