KeyFC欢迎致辞,点击播放
资源、介绍、历史、Q群等新人必读
KeyFC 社区总索引
如果你找到这个笔记本,请把它邮寄给我们的回忆
KeyFC 漂流瓶传递活动 Since 2011
 

有点愤愤不平,发泄下。

[ 44323 查看 / 51 回复 ]

本来觉得这篇文应该放到营业部去的。但是后来觉得这篇文章可能并不符合版务建议或者纠纷协调的特点,因为事实上我压根就没指望管理员会把这篇文当回事,所以就当作是心情的发泄,发在茶餐厅了。。

虽然注册这个号的本意是用来潜水,本来我也不想第一次发帖就发这种沉重甚至很带刺的主题,但是昨天晚上和夏影聊过以后,忽然就觉得很不能忍受,有些东西实在是不吐不快。
事情的起因就是夏影舰长(Summerlight)离站这件事。我之前一直没明白,我才来十多天,夏影大为什么就要离站了呢?他之前只跟我说“跟管理阶层有些冲突,再加上有3个网站要管理,还要准备清华保送生考试,还要等着高考,实在没什么时间了。”但我觉得绝对不仅仅如此。昨天晚上我们几个人到他家作客,我打听了半天才算知道事情的原委。但是听完后,我却觉得非常的愤怒,我觉得我就只想问一下,陈大,您觉得您这样做合适吗?
作为夏影大的好友,依我个人的感觉来说的话,夏影大虽然有些不按常理出牌,并且喜欢恶作剧,但帮助别人时一向尽心尽力,本质上来说应该算是个好人,而他在跟我聊到您的时候,也跟我说“他虽然脾气有些急,说话冲,但是我觉得绝对是个好人。”,这样的两个人我觉得本来不应该发生这样的事的。但是最后却弄成了这样,为什么呢?
我觉得我就一句话,陈大,愿赌服输!最早夏影大研究了整整两天DNT的代码,发现论坛的任意用户登陆权限登陆后台漏洞的时候,他要是真想给您捣乱,完全有能力直接把论坛的数据全部清干净的。但他并没有打算做这些,而是帮论坛把漏洞补上后就走了,除了他的操作记录外别的什么都没删,有他改不了的地方还专门给您PM,然后您的回答是什么?直接积分清零,然后说“自己玩你的漏洞去吧。”
然后第二次,夏影大跟我聊天时说道:“我通过漏洞改积分,不按规则出牌获胜确实不太公平(笑),清了我的积分无可厚非。不过我想试试能不能从常规手段挑战挑战陈大(笑),就这么认输了也不是我的性格。”,于是在自己所管理的北京四中网站的首页上挂了推广链接的Ifream。我想问您,推广这个功能是论坛一直以来就开放的吧,那么利用这个功能赚取积分有什么错吗?夏影大在那坐等一个礼拜,积分就上万了,然后他跟您PM,告诉您这件事,还专门说明了积分的来源、推广制度的改进建议等等,然后您又是怎么做的?又一次积分清零,夏影大申诉时您还直接一句“啊,我好烦,开始想要删ID了。”,让他忍无可忍地决定离站。不论如何,或许第一次用漏洞刷积分的时候,连夏影大自己都承认了“不劳而获确实没意思”,但是后来这次通过推广赚的积分,我觉得这件事您做得实在是不太对。
您要是死抠“推广”的定义,那么我也可以告诉您,作为管理员,您可以自己去查KeyFC那一点时间的访问记录,所有访问应该基本都是不同地区,真实有效的访问量。夏影大只是在他所管理的他们学校的网站首页上挂了KeyFC推广链接的Ifream而已。10000积分就相当于5000访问量,您觉得作为北京最有名的两所高中之一的北京四中,一个多星期连5000访问量都达不到吗?要是您想要证据,您可以自己致电北京四中计算机教研组的秦波老师,夏影大在这么做之前是经过他的许可的,所以他应该是知道这件事的,出于夏影大的隐私原因我不能直接透露他的姓名,但是您可以直接向他询问“高三一班掌握着学校网站后台权限的那个学生”,他肯定知道是谁,您可以自己向他调取学校网站的运行记录。看看是不是这么一回事。
作为论坛的管理员,您自己开放了推广这个功能,然后现在有人利用这个功能获取了积分,您却不承认这些积分是合法所得,您不觉得这么做实在是太没道理了吗?
夏影大在注册账号前(似乎是自从2004年左右,这我还真不太确认),就一直以游客身份在KeyFC潜水。所以说在这里应该也算老访客了。也许您说得没错,KeyFC不是一个以研究漏洞为主的论坛,但是不能否认漏洞也是论坛不能回避的一个问题。没有错。论坛需要的是和谐。但是我没看出夏影大做了什么打扰和谐的事啊?正如前文所说,他要是想捣乱的话能做的简直太多了,但绝对不会是把发现的漏洞告诉您并帮忙修补上。然而现在您却以研究论坛漏洞为由驱逐他,说出“技术宅就不要在这里混”这种话。我认为是对其他人极大的不尊敬!胳膊拧不过大腿,我觉得我说这些话您未必肯听。但是请您自己想一想,您作为管理员,积分只是一种符号,可以任由您去操控,但是清积分这件事本身却是在否定他人的价值,您这么做可能您觉得心安理得,但是陈大作为管理员却以自己的权利打压别人,这真的合适吗?

估计这篇文在发表后几个小时内就会被和谐,但是有些事我觉得确实是不吐不快。这件事并非他人授意,而是我自己的一点冲动。如果大家看了不屑的话就当是个笑话吧。
本主题由 管理员 laputachen 于 2010/3/27 15:34:39 执行 关闭主题/取消 操作
分享 转发
TOP

回复:有点愤愤不平,发泄下。

噗,黑客还黑得有理来了么?现在的孩子还有没有点基本的为人处世的常识啊?利用漏洞进别人网站逛一圈,顺手改下积分,然后邀功说我发现你们的漏洞,帮你们改了,你们要奖励我!发帖的同学,你知道错在什么地方吗?把这里的网站替换成你们学校存试卷的教研室想想,偷进教研室,或者别人的家是什么行为?没搞破坏你就是品德高尚了?要是删了数据就不是清积分那么简单了,等着警察上门吧!
另外什么推广制度我倒是没听说过,只是点击推广连接就加积分?这里啥时候要这种东西了?有也建议取消掉。如果这个情况属实,那积分不清也行。不过也奉劝一句,红楼梦里有句判词,机关算尽太聪明,反误了卿卿性命。
聪明的孩子就该好自为知。知道什么该做,什么不该做以及该怎么做
像喜剧一样。
TOP

回复:有点愤愤不平,发泄下。

论坛存在的目的是什么?人来论坛的目的是什么?
黑如何不黑又如何?分高如何低又如何?访问量多如何少又如何?
对于论坛和来论坛的人来说,“交流”二字之外的东西,无意义。
TOP

回复:有点愤愤不平,发泄下。

首先声明,虽然“夏影”同学曾经对在下恶作剧过,但是在下并没有记恨他,我“奈落”不是那么斤斤计较的人,下面的言论也不是在下报复“夏影”,而是很客观的观点。

LZ与夏影的想法和做法,都太天真和幼稚。。。
我虽然不懂代码,但是我觉得,陈大的处理方法,并不是因为什么爱面子,输了什么可笑的比赛,存心报复。。。。
陈大 是一位公正严明,又有成熟心理的管理员,难道会因为这点小事,就做出如此严厉的处罚么??
真正的原因是“夏影”同学的动机不对。。。

夏影大跟我聊天时说道:“我通过漏洞改积分,不按规则出牌获胜确实不太公平(笑),清了我的积分无可厚非。不过我想试试能不能从常规手段挑战挑战陈大(笑),就这么认输了也不是我的性格。”


这才是关键!! (相信大家也都心里很清楚了) 夏影同学,只是为了自己的好胜心理,向管理员挑战,以证明自己的“聪明机智”,满足自己的虚荣心!!  不管是用漏洞改积分,还是用推广,都是为了这个目的!! 

我先前就和夏影同学说过,做人不要太有心计。。 像这样改完积分,又装作好心的向 陈大 报告漏洞; 刷完积分,又假惺惺的来建议。。。  实在是过于虚伪。。。

如果真的是好心建议,就在一开始就说出来。。。 像这样,以违法来证明法律的漏洞,实在是不可取,不过是耍小聪明罢了。。

另外,本论坛是以讨论KEY社作品和动漫相关为目而建立的,而“夏影”同学,多次为证明自己,在网络代码和论坛管理方面的“实力” 而向 管理层 挑战,自顾自的做着什么“比赛”,扰乱了论坛的管理,又屡教不改。。实在是与论坛主题不附,不和谐的做法。。。

最后想说,听LZ的叙述,“夏影”同学,也是位聪明的成绩优异的学生。。  还希望在学习知识的同时,完善自己的心理。。。  做人要实在,不要总是为了显示自己的“聪明”,而聪明反被聪明误。。。不然以后步入社会,也会吃亏的。。。

ps:LZ的橙色字又说错了。。  陈大 是绝对不会删这个帖子的。。 一来是因为惯例,二来是因为,这个帖子,恰恰让大家看清楚了,事情的真相,和孰是孰非。。。

本人是非常善意的为“夏影”同学着想。 忠言逆耳,希望多多理解
另外希望夏影同学能够顺利考入名校清华,这才是展示自己聪明才智的正确途径。。
希望他能继续喜爱KEYFC,不要意气用事。。
最后编辑奈落风风 最后编辑于 2010-02-16 08:27:38
TOP

回复:有点愤愤不平,发泄下。

就我最近对两位的接触来看
两人都是好人(废话 pia
对两位我都不存在偏见
所以只是就事论事

就LZ这篇帖子来看,
感觉是夏影大利用漏洞刷积分在先
但是自己也知道错了,所以又把漏洞补了
而且改的也不是太过分(否则估计要超过水羊了)
估计改积分的主要目的是为了搞笑>积分吧
。。估计其内心也是希望得到一定的认同的

但是老陈可能是觉得既然你以这种手段改了积分就该受罚

就理性的角度看,老陈的做法确实没错
但是从感性的角度,夏影有点生气也是必然
毕竟夏影也修改了漏洞啊
虽然是有点恶搞了
也甘愿受罚
但这么一声不响就扣光了积分还是有点过分了

我还是觉得两人,再加几个中间人
大家坐下慢慢聊聊
和和气气的多好
夏影大理性一点
米陈也感性一点

所以还是理解万岁吧

p.s.:
请LZ对夏影大说一声,气消了就回来吧

以上纯属个人观点,如有不对望请海涵
最后编辑暗紫影 最后编辑于 2010-02-16 08:08:18
话不要说死,人不要做绝,刀不要磨亮,袜子外面是鞋

多睡觉,做做梦,少操心,没事就到妖怪山上转转,吹吹东风,玩玩青蛙,渴了就喝点橙汁和西瓜汁;偶尔也去太阳花田插插花,玩玩虫什么的,生活就是如此的安逸!
TOP

回复:有点愤愤不平,发泄下。

怎么觉得这是小事啊...
说实话 我也是学黑的
我的观点 :夏影的做法不太好
完全同意奈落风风的观点
最后编辑漩涡天野 最后编辑于 2010-02-16 09:02:23
TOP

回复:有点愤愤不平,发泄下。

吵架不好............................
最后编辑漩涡天野 最后编辑于 2010-02-16 09:47:37
TOP

回复:有点愤愤不平,发泄下。

怎么说呢…这种事我不太擅长。LZ的说法的确是过激了,但是就像5F所说的,大家还是坐下来谈一谈的好,自己的攒下的积分被清零也实在是难受,既然没有危害,那就改回原来的积分得了,用不着全部清零啊,有些人不在乎,可是对某些人来说在这意味着他们自身的价值被否定了,心里会很难受,大家都是明白人,都让一步吧。
小町真是太可爱了~当然最可爱的是小舞。。
TOP

回复: 有点愤愤不平,发泄下。

楼主最后一句很多人都大义凛然的说过,我又要再重复一次,KFC除了广告垃圾政治贴一般都不会删,现在删ID也只是改成“等待验证的用户”,以保留所有记录。我的观点是发出去的帖子泼出去的水,不是广告,没有危害论坛安全的不和谐关键字,能保留的都尽量保留。

这事本来一直要写个公告,后来有各种事忙,论坛也有更要紧的事要处理,就先拖着了。楼主既然提出来了,我就来公布一些所谓的真相。没有时间整理说明,就直接贴短消息和聊天记录了。

看了以下真相后,我只问各位一个自己的想法:如此利用推广功能快速获取一万多积分,是否合法?积分是否应该保留?大家是不是也都可以用聪明才智去研究这种有创意的方法去快速加个几万积分?


===============================================
re:阁下是否还愿意继续待在KeyFC?
发送人:水羊 2010/2/3 14:02:45
陈大我错了……

但是我现在确实没法改。。真的。。
之前在一次无聊的安全检测中发现的KeyFC有漏洞。因为我比较喜欢恶作剧,就研究了一下,然后帮忙把漏洞补上了。
但是现在我就没法再改了,

麻烦您帮忙改回去吧。。

我是真的真的忏悔忏悔忏悔……

好吧以下是正事。

陈大知道之前KeyFC有漏洞么。。
我是学网络安全的,之前因为好奇就对KeyFC进行了安全检测。然后发现了漏洞,之后就试验了一下。
之后本来想跟您联系的,但是刚看到您上线就先给我发来信息了。。
不过我是Key的忠实粉丝,也希望KEyFC越来越好。所以我以我人格担保我没干任何破坏性的事,连后台也没有登陆过……真的,希望陈大相信我。
除了修补漏洞以外,我没有改过论坛的任何文件。这点我同样可以担保。
所以事实上现在我是不能再修改我的积分了,这是实情,确实不是我在耍赖。
希望陈大原谅我这一次。。

漏洞大概就是可以直接以任何帐户登陆论坛……如下是截图。我传到KeyFC相册了。

http://keyfc.net/bbs/showphoto.aspx?photoid=12724 密码是 Key@)!)

如果需要,您可以继续联系我,我接下来应该一直在线。


我不太确定是用哪个帐户发的……
发送人:SummerLight 2010/2/3 14:12:24
这篇发完我刚才关了下浏览器,然后忽然意识到第二篇也没搞明白是用哪个帐户发的信息。
为了确保送达,我就再把大致意思重复一下吧。
刚才因为我的那个浏览器里同时存在三个登陆的凭据(工具前天开机后一直没关),所以我也不确定我到底系统判断是用哪个账户的凭据发的,而且我关了以后现在已经不能再登陆了,没法确认。不论您收到的信息来自谁请回复到这账号。.


给您造成麻烦实在抱歉。


……
发送人:SummerLight 2010/2/3 15:32:24
呃陈大不用做这么绝吧……再怎么说积分也别全清了啊。。我又没干什么坏事。。


回复:
KeyFC有漏洞很早就知道了,也尝试过升级DNT,但考虑到数据与KFC2未来的兼容性,就没有继续。之前也有人通过其他方式修改过积分,发现后做了积分清零的处罚,对于你这次也一样。我们维护这个论坛就已经很累,服务器购买和托管都是自己出钱,应对河蟹也弄到烦死,为小白问题也讨厌死,我不希望再看到有人聪明的去捣乱,去秀自己黑客技术,我们并不希望要花额外的精力去处理这些。

还有上次那个抢注别人要改的用户名就是你吧?

关于漏洞你可以写个详细的分析发给 粘土火星 或 Taishen,他们是技术人员会去处理。

最后,鉴于论坛最近的一些情况,我会发个公告,对于你的惩罚我也会去说,本短消息的内容也会公布。我希望大家在论坛更多是认真的写写字,用心去交流,而不要因为自己有些聪明就去锋芒毕露。这是一个和谐的论坛,只有和谐的人才会在这里真正找到自己的快乐和满足。




re:re:Re:阁下是否还愿意继续待在KeyFC?
发送人:SummerLight 2010/2/3 16:01:36
实在抱歉。。。
我确实不是以捣乱为目的的…您可以去搜索一下,应该没有人在网上发过DZ!NT2.1版本的漏洞……。这个漏洞是我当时专门在我们家的那台老旧服务器上装了DZ!NT的2.1版并研究它的代码研究了一整天后发现的,后来我用这个漏洞上了KeyFC后大致看了一下,因为好奇试着评了下分。之后我就忙于修补漏洞了,并且在那之后我已经帮忙把KeyFC论坛上那个漏洞修补好,在那之后我本想擦了脚印不留名就闪人的,不过我发觉在修补完漏洞后我自己也没法再把积分改回来了……
可能我说这些您不相信,但是我确实没有打算去秀自己的技术或者因为自己有些聪明就去锋芒毕露什么的。我自认为(也只能说是自认为)我在这方面有比较强的道德约束力,我是真的没有过任何想捣乱的想法。。所以确实希望您能高抬贵手。。
关于那个用户名的事,我已经PM过当事人认过错了,他也表示没关系,当时确实纯是一场恶作剧。。也同样希望您谅解。
真是为对您造成的麻烦表示抱歉。。但我还是希望您能高抬贵手。我当初确实没有过过分的想法…本来就想让这事就这么过去的。
如果不介意的话,希望能常联系。我是非常喜欢?KeyFC的,之前一直只是潜水没有注册过账号,这是我唯一一个账号,我不希望就因此而把我在这里的寄托毁了……
谢谢。。



好奇可以自己找地方试,但擅自去用我的ID去乱加分,我会认为是对论坛规则的挑衅。你或许聪明技术好,但论坛是一个社会,而不是纯2D的世界,积分有它的意义,不是可以用来给你做实验的。如果愿意帮助KeyFC改进,比较好的做法是把漏洞描述详细发给我或其他管理员,而不是自作主张去实验去修复。无论初衷如何,这如同我发现你家的门锁有问题,我不打招呼就溜进去把你家的东西翻翻然后乱摆,然后帮你把锁修好再出门。你回家后看到家里东西换了地方,会有什么想法?你会认为是有人好心过来帮你修锁吗?你愿意这样的人再次不打招呼就来你家修门吗?

论坛是社会,不是上了网就可以不遵守社会规则,特别是在KeyFC你仍然要注重人际交往的礼貌。你去任何一个论坛乱改积分,别人肯定首先认为你是在捣乱,你在秀黑客技术,也不会有管理员认为你以帮助修漏洞的理由就可以去改系统,你或许技术很好,但这些人之常情,人际交往的基本道理考虑过了吗?发现了漏洞就马上得意的去试,别人会如何想,你考虑过了吗?

我一向严肃对待论坛积分,任何积分的获取一定要遵守规则,来之有理,特别是加学分。你实验时为何要去试加10个学分?为何不用加1Kp之类低调的做法?你这样做,如何不让别人认为你是在挑衅,在锋芒毕露的秀?你现在可以说自己是没什么恶意,我也基本相信,但你当时除了考虑技术问题,其他的社会规则就可以不去考虑吗?

另外,积分清零的惩罚是不会撤销的,改积分是对规则的严重挑衅,这肯定是严厉惩罚的范畴。我考虑过直接删ID,但搜索了你的帖子,认为你不是纯捣乱那种,还是会认真去发帖,会希望留在KFC,才会先发短消息看你的想法,而不是直接找Taishen去跟你斗技术。如果你愿意留下来,自然是可以,但没可能你改了积分这事就这么过去。以后参加论坛活动或者发精华帖,积分还是很快会加回来的,虽然我觉得在KeyFC积分确实不重要。


re:re:re:re:Re:阁下是否还愿意继续待在KeyFC?
发送人:SummerLight 2010/2/3 17:35:06
嗯,首先在这点上我依然是要郑重地道歉。我当时确实有些自以为是了,应该说,我本来确实没有想到这一点。没有考虑过关于这会给他人造成什么样的影响。可能我确实有些沉湎于那种所谓的“做了好事不留名”的自我优越感满足中了。
首先有一点,或许您可能觉得我是在揪住一些细枝末节胡闹,但我还是想说一下,我并非是发现了漏洞就马上得意的去试。确切地说,在忽然想到要检测KeyFC的安全性的时候,我还没有发现这个漏洞的存在,您也可以在搜索引擎和DZ!NT的论坛上搜索一下,之前并没有人发现过2.1版的漏洞。我为了能够找到KeyFC系统的漏洞漏洞,花了很长很长的时间研究DZ!NT2.1的代码,包括官方的说明文档我都几乎是一个字不漏的看过的。并且我付出了极大的精力去对漏洞进行钻研。我绝对不是以炫耀为目的。更不是想秀技术什么的。而是确实为了这样一个目标而去钻研的。关于这点我,您不是学习这个的,可能无法体会我的想法,所以您只要能听我说一下就行了。虽然您可能不会答应,我希望您不要跟别人说我是研究网络安全技术的。我基本上没有跟别人说过这件事,包括家里人都不知道这点。我同样也不希望周围的人知道这点。
关于修补漏洞那个问题,这里有我个人的苦衷,我希望您如果可以的话能够体谅一下。确实我一开始想过直接把漏洞通知您。但是希望您能够谅解,对于像我这类学习这些方面技术的人来说,技术资料这类东西可以说是生命线。无论如何我不希望我自己发现的漏洞的资料外泄。或许您接下来会觉得看了笑话,但是将漏洞信息与处理方案投稿给Discuz!NT官方,或者写成一篇关于漏洞原理分析的文章投稿给杂志都是我重要的资金来源。我只是一介高中生,并且不习惯向家里要钱,这几乎是我平时生活费唯一的经济来源了。请原谅我因为这种自私的理由不愿向论坛的管理员公开此漏洞。所以我才手动将漏洞修复了。向官方秘密公布漏洞,然后向杂志社投稿,这样在文章发表出来时官方已经出了漏洞补丁,这样才可以在保证尽可能不影响网络秩序的前提下获取经济收益。然而我也不希望看到在将来或许某一天我投给杂志的稿件被发表出来后会看到KeyFC因为没有及时更新系统成为那些无良黑客的攻击目标,所以我唯一能做的就是在投稿前擅自下手自己把漏洞修改了。在您看来这或许是非常自私,或者挑战规则的行为,但是这是我学习这个的守则,我由衷地希望您能理解和体谅。
关于积分问题,其实我当时本来想我当时改积分是因为想看看到底用户组间的等级到底有多少差距。所以我给试着加到最高组别后就没再动它了。当时是凌晨四点多,我本来希望能在5点之前就把它改回来收工的。但是后来修补完漏洞后发现没法弄了。我后来一直想联系您,事实上正在您给我发短信的时候,我正在给您写信息请求您帮我把积分恢复回来。当然这种话没有证据,您也不一定会相信。在改了积分后我没有过任何炫耀积分的行为,我也一直没有希望别人注意过这点。事实上您可以问问水羊之类常客,他们应该都是知道我这个号是新人,我也没有想过拿积分去满足虚荣什么的。如果不是喜欢KeyFC,我也不会守着一个积分还不到500的小号爱不释手,应该说我确实是犯了很严重的过错,但是我保证我在当初绝对没不是以想要改我在论坛上的积分为目的的,事实上我想修改积分完全可以用在后台更隐蔽的方式进行,没必要放到这种地方来。我当时只是想到撤销评分是很方便的,所以就用了这种方式来修改积分。
我确实是真诚地希望您能原谅我。

静候回信。
忏悔中的 夏影


嗯,你原来怎么想是一回事,但你做的事会留给别人是如何的印象又是另外一回事。你既然懂技术,要测试漏洞你可以自己找地方测,测好了就自己去写报告赚钱。但不打招呼用KeyFC正在运行的系统测试,我们又如何能能接受?如果你测试出了问题,影响了论坛运行, 你又如何负责这个后果?我去你家里悄悄的测试门锁有没有漏洞,测好了以后不告诉你,去报告门锁的公司拿报酬,你知道了以后有什么想法?

KFC目前用的还是过渡系统,没有去完善,因为以后还是会离开DNT的,我也觉得论坛技术是否先进完善没有维持一个好的氛围重要。我不欢迎有人去利用过渡系统的漏洞改东西,之前那人也被我训过。总的来说,搞这个论坛我已经很累,河蟹已经可以烦死人,我不希望还有人搞些额外的事情让我担心。



我显然还还愿意继续待在KeyFC…
发送人:SummerLight 2010/2/3 18:38:06
哈哈,看来确实是这样呢。我只是希望您能原谅我而已,积分什么的没必要非得那么较真,论坛里人际关系才是最重要的啊。(话说也不至于1KP也不给我留吧,我刚刚想搜索结果发现KP不够~果然是自作自受啊……哭)

还有啊,有一点似乎您误解了。那个漏洞我不是在KeyFC上测的,我从来没有拿KeyFC作测试样本的意图哦,一点也没有。
我之前应该有说过吧,我家里有台自己作测试用的服务器(用了两篇稿件的稿费买的二手……估计现在二手市场上都卖不到300了……)。我是在那上面搭建的DZ!NT2.1系统作的测试,并且在本地确认了漏洞的现象以及原理和利用方法后才,关于漏洞的修补我也是在本地调试过的,这点您可以放心。我当初想要测试这个漏洞只是因为看到KeyFC用的是DZ!NT 2.1,所以就去研究了,纯属一时兴起吧。后来我是为了看看KeyFC是否也有这个漏洞,所以就上来试了一下,发现果然也有(呃或许说必然也有更准确)。我本来的目的只有帮KeyFC修一下漏洞的。后来改积分这件事我也跟您说了,我只是想看看用户组别的区别而已,真的,本来改完后就想改回去的。。不过确实结果造成了不小的影响。当时我确实没考虑到,可能我动机是好的但是手段确实不太对,这点我认错并忏悔,再认错再忏悔…看来才刚刚高三的我还有很多人情世故方面的东西需要学习啊……


写到这里有个小插曲,
我跟DZ!NT的管理员反映了这个问题了,但他们说没必要为此专门出一个补丁,说让换用3.0版的系统就能解决,然后我就彻底无奈了。。我现在在考虑那篇文章是投稿还是不投稿呢。。
还有一点,为了不想惹麻烦,我之前把我在服务器上的所有脚印都擦了,虽然这确实是对KeyFC服务器上资料的一些改动……希望您不要见怪,我保证没有删过任何无关的东西。。

有道是不打不相识嘛,希望能成为朋友啊。
我在将来也会尽我所能关注KeyFC的安全问题的,不过下次发现漏洞我一定会第一时间先通知您的,不会再擅自行动了哈哈……

夏影






=================================================
陈大…关于论坛的“我的推广”这个功能…
发送人:SummerLight 2010/2/11 16:43:46
不好意思地问一下。这个功能是不是该给关掉。
我前天研究DZ!NT2.1代码的时候偶然间看到这里了,看见论坛原始代码在推广这个功能的代码上写得极其简陋。
甚至连基本的记录都没有。只有一个非常简单的防止重复提交的判断,但是跟没有一样……非常轻松就能绕过去。
而推广一次是可以加2点经验的。
虽然新人区的KeyFC论坛基本使用手册里写到这个东西并说这个是可供使用的。
但是这无疑成了一个合法存在的刷分手段啊。
我觉得要不然就把推广的奖励改成加一定的KP而非经验。
或者干脆把在后台把推广这项的奖励设为0吧。

P.S.
可能是我多管闲事了,我甚至已经猜到可能会有“KeyFC是一个和谐的论坛,只有别有用心的人才会去做恶意刷分这种事的。”这样的回复……(笑)
因为我并不太清楚是否有陈大有着我所不知道的,没有把这项功能关掉的理由。
总之如果是这样,就当我杞人忧天了吧。
正在努力写稿中……

夏影

话说陈大怎么又把我的积分清了……
发送人:SummerLight 2010/2/11 18:24:36
我好像没做什么违规的事情吧……


re:re:话说陈大怎么又把我的积分清了……
发送人:SummerLight 2010/2/11 18:29:22
推广啊……

我记得上次您跟我说的是
改积分是对规则的严重挑衅,这肯定是严厉惩罚的范畴。
在新人讨论区里的KeyFC论坛使用手册里有。还专门说过关于推广这一项功能的介绍……
这个应该是合法的吧,
虽然可能确实有些不合理……


re:re:re:re:话说陈大怎么又把我的积分清了……
发送人:SummerLight 2010/2/11 18:37:30
推广这个功能并不是漏洞啊。

在使用手册里不也写了这个是可以使用的么?



Laputa Chen 21:50:28
承认个错误就那么难?
回复Laputa Chen 21:50:32
那么要面子?
回复Laputa Chen 21:56:55
就像营业部你抢注别人名字那贴,公开也不敢去道个歉
回复Laputa Chen 21:57:02
就那么不明不白的放着
回复Laputa Chen 21:57:06
就喜欢顶嘴?
回复夏影 22:05:16
道歉我在很久以前就道歉过了,是在回复当事人的一篇帖子的时候说的。
营业部的那帖我就认为没必要再去单独说了。
很抱歉,有些问题我认为已经不是面子的问题了。
您是KeyFC的管理员,您在这里有绝对的权利。老实说我虽然认为您说话时总显得脾气暴躁,但是说的话还是很有道理的。
但是这件事我并不认为是认错的问题。
您可以拿那个锁的例子来驳斥我。但是这里不是现实,这里是网络的环境。
既然推广这个功能是KeyFC设立的,当初就应该考虑过这个功能会带来什么样的效果。
您如果关注新闻,也应该知道,即使有银行被人从ATM取钱,银行自己也是要负相当大程度的责任的。
在之前有过多少例子了,在网上订单,因为网站疏忽标了低价,网站自己是必须要兑现的。
如果回到锁那个例子。如果您家门锁着,我进去拿了点东西,我可能被判偷窃。
但是如果是您家门大开着,还直接立个牌子欢迎小偷入内,您觉得这时候还是判小偷的罪合适吗?
如果您觉得我在强词夺理,您可以问问周围其他论坛管理员对于漏洞的态度。
虽然不鼓励,但至少在中国的互联网环境下,利用漏洞只要不造成破坏和损失,是不违反任何规章的。

实在抱歉,我有自己的行事原则,以我的性格很难说您认为的是对的。
从之前的交涉以及帖子中也能看出您的性格大概容忍不了我这种人吧。



回复Laputa Chen 22:09:06
行了,你走吧
回复Laputa Chen 22:09:14
各有适合的地方
回复夏影 22:09:33
猜到您要这么说了。
回复夏影 22:09:48
确实我也没什么好说的了。
回复Laputa Chen 22:10:19
自己玩漏洞去吧
回复Laputa Chen 22:10:23
这里不欢迎你玩
回复夏影 22:11:17
既然这里与其他地方不同,有自己的规矩,我也就不打算继续留下了。
另外您既然说推广是漏洞,那您为什么当初还要打开这一功能?

回复Laputa Chen 22:11:42
是前任管理员开的
回复Laputa Chen 22:11:46
默认功能而已
回复Laputa Chen 22:11:59
也没打算用
回复Laputa Chen 22:12:16
嗯,以前有过你这样的人,我看还是走吧
回复Laputa Chen 22:12:39
技术宅有更好的地方去搞技术
回复夏影 22:13:11
技术宅么……这还真是多谢夸奖了。
回复夏影 22:13:39
能在有生之年听到别人这么说我还真是荣幸啊。
回复416412902 22:15:37
不过既然走了,我在最后想说一句。
您最好在使用手册里明明白白地写上,使用哪些手段做什么事会被河蟹。
在没有跟人和人说过规则的情况下就要别人抛弃公认的规则转听您的那套规则的话,我不认为是什么好事
回复Laputa Chen 22:18:08
公认的规则是可以去用论坛漏洞该积分?
回复Laputa Chen 22:18:46
漏洞是个宝,找到了你就可以去用?
回复夏影 22:26:53
您的话在逻辑上是在偷换概念。

公认的规则是,如果论坛自己有漏洞,被人利用那是论坛的问题。
如果利用漏洞并恶意造成破坏,那是刑事犯罪,您可以将损失上报给公安部门,请求他们追回损失。
但是利用漏洞进行无破坏目的的研究并不是违规行为。
您应该也知道之前的中美黑客大战和最近百度DNS被修改导致的中国一些所谓的黑客去攻击伊朗网站的事。
互联网崇尚的精神是开放自由,网络安全之所以能够成为信息技术领域的重要学科,与这种鼓励研究的精神是密不可分的。
您不要把这里看成是现实世界。确实,在KeyFC您说了算,我不过是个无名小人,我没权利对KeyFC的规则挑三拣四。
但是互联网的规则不是由您来定的。


况且上次是您说过 积分不重要 的。
我只是说说,听不听是您自己的自由。我也认为您是绝对不会听的。



回复Laputa Chen 22:28:56
积分不重要就可以让你随便改啊,你是不是也偷换概念呢
回复Laputa Chen 22:29:04
积分是不是一个规则
回复Laputa Chen 22:29:38
干什么可以加多少分你就可以去改
回复夏影 22:30:32
我说过积分不重要就可以随便改吗?
您这是断章取义吧。

如果照您所说,
积分是不是一个规则
干什么可以加多少分你就可以去改
点一次推广就可以加2经验是不是KeyFC的规则?
回复夏影 22:30:48
您这不是在自己反驳自己吗?
回复Laputa Chen 22:30:50
嗯,那何为推广?
回复Laputa Chen 22:31:00
真的有那么多人点了你的链接?
回复Laputa Chen 22:31:12
有那么多人来KFC看过了?
回复Laputa Chen 22:31:48
嗯,我改了积分规则,你再去改,大家都去改,都去玩漏洞,何为规则?
回复Laputa Chen 22:32:46
你的推广链接发在了哪里?
回复Laputa Chen 22:33:06
不还是利用个漏洞玩
回复Laputa Chen 22:34:04
管理员可以改积分规则,所以你也可以改积分?
回复Laputa Chen 22:34:21
大家只要会用漏洞都可以改积分?
回复Laputa Chen 22:37:03
反正改积分不是恶意,你去其他论坛改过没?别人欣赏你的善意吗?
回复夏影 22:38:59
您口口声声说这是漏洞,
但这个又哪里是漏洞?

又有哪里说过那么多人点击链接才加经验?

您可以这么说,因为您有权利定义“推广”

但是论坛显示给外面的规则却是,点一下推广就可以加2经验。
您要是真这么定义推广您完全可以去找自己定义,注册一个用户给推广者加5分,这才是大众所谓的推广。

况且,您管这个叫改积分?

我点这些推广链接,我没有付出劳动吗?

既然论坛自己设定这样的规则,那我也应该是劳动所得。您认为您在这方面设置的积分规则有问题,就能说用这种方法劳动获取积分的人是在作弊?
举个例子。您指挥工作,有两种活,第一种干半天得1块钱,第二种干一会得100块钱。
您没要求用什么方法干,只要求有结果。
然后有人用第二种方法赚了钱,您就说那个人作弊吗?

另外,很奇怪您怎么会问这种问题,您以为我为什么会在别的论坛当安全顾问?
不同人对这种事的看法是不同的。
您认为您这里您说了算,那我也就没什么好说的了。
我都说了,不要用您自己的规则理解公认的规则。
回复Laputa Chen 22:39:51
嗯,你还可以多改几个论坛看看
回复Laputa Chen 22:40:27
嗯,那之前用我的ID加分算是用漏洞了吧
回复夏影 22:40:40
没错啊,这我已经承认了
回复Laputa Chen 22:40:43
你自己也说这样不合理
回复夏影 22:41:20
对,那次我认错了。
您没觉得我这两次态度180度大转弯么
最后编辑laputachen 最后编辑于 2010-02-16 09:34:18
1

评分次数

    TOP

    回复:有点愤愤不平,发泄下。

    嘿,你的黄字估计没有依据哦,当年那位小同学愤愤不平来说360后门问题的贴还留着呢,这个自然不会被和谐啦

    从我个人来讲,考虑小同学年龄,最初的错误其实并不是特别严重的问题,可以原谅,如果换在别的地方挂论坛公告删id其实也不过分,当时也不过就是清分处理罢了,如果这样的理解成了掩盖真相,当时是不是不如开诚布公热烈欢送。

    从安全的角度上,并不是说研究漏洞就因该驱逐,只破坏不建设,确实他并非出于恶意,但是再小的破坏也掩盖不了本质上的错误问题,只说漏洞补上了没有任何细节这实在不符合作为漏洞发现者应该尽到的责任,行业内就连瑞星揭发360漏洞也有分析代码,在这个问题上小同学有点闪烁其词有点说不过去。漏洞是不能回避,但是你也不能什么也不说就说论坛有漏洞让我们去查每一个.cs和.aspx对吧。

    何况后来做法确实有点欠妥,开放iframe方式推广就能轻松赚分是论坛设置上的失误,但这并不表明我们需要通过这种方式换流量,但小同学作为漏洞发现者还是没有第一时间通知论坛方面,反倒是完全是赌气式的刷分行为,这种方式得来的积分对于辛苦发帖得积分的人来讲算不算是不劳而获呢,你们觉得这就十分公平吗?网络游戏使用外挂或者利用游戏设计缺陷作弊得的经验装备难道都是合法所得??

    KFC以前也不是没有经历过小小的恶作剧刷分骗KP之类的,像mdk,misha大等等,但是人家做完,会及时补救,并且退还自己不该得的东西,而不是计较那点被清零的积分。

    就iframe推广方式来说,再次强调我们并不是很需要这些流量,开放这个功能并非本意,许多年前雨辰大们成立这个网站的意义就是给喜欢的人开放的,并不是说一天要做到多少多少PV,一个月要有多少访问流量,要收多少广告的钱,不知道几位小同学有没有注意到我们除了论坛内热门话题放一个Flash以外基本没有广告,难道这样的网站能利用推广获得流量赚钱??当年申请Google关键字还经过全论坛投票通过才有的。

    何况iframe方式对于浏览器来说十分隐蔽,对于浏览你们学校网站的人来说,我们的推广链接完全是多余内容,是不应该存在的东西。你们作为网站内容提供者和维护者,应该维护的是自己网站用户和访问者的利益和浏览体验,对用户负责应该尽力提高自己网站内容质量,不是用其他不相关的内容充斥页面,如果你们隐藏了iframme的显示方式就觉得没有影响也是不对的,这不但不符合你们推广的意义,而且也浪费了用户的电脑处理器,这不是说老师同意了可以放就没有问题,你们有这个能力是不错,但你们征求过学校网站用户的意见吗?虽然这个推广你们的动机是好的,也不是出于恶意,但是这样做是不对的。

    我也是高中的时候来的KFC,当年也很喜欢秀些技术进进别人机器,但是一定要清楚有些事情是可以做,有些事情绝对不可以,能力越大责任越大,越应该想清楚怎样正确使用能力。

    既然是发泄过后,那么希望两位小同学能保持理性想一想自己的行为,看清楚什么是正确的事情,什么事大家都在做却是不对的。

    PS:老陈不要太和高中生计较啦,不过咱们确实要求要用正当手段干活,而不是不择手段只追求结果wwww,这样怎么还好意思指责别人掩盖真相呢??
    最后编辑粘土火星 最后编辑于 2010-02-16 11:21:40
    AJI,舰狗
    TOP