程序員，一個(gè)互聯(lián)網(wǎng)時(shí)代的“ 落魄打工仔 ”。

他們除了要忍受產(chǎn)品經(jīng)理騎在脖子上拉屎，還要面對(duì)各種猝不及防的糟心事。包括但不限于服務(wù)器崩潰、改 BUG、加注釋、接手同事留下的垃圾代碼山等。

但好在，這依然是當(dāng)下最炙手可熱的職業(yè)，永遠(yuǎn)都有滿腔熱血的新人加入，也永遠(yuǎn)有大佬樂于分享自己的代碼技術(shù)。

比如，在 B 站，你也許就見過這位叫「程序員魚皮」的 UP 主，他常常發(fā)一些代碼教學(xué)的視頻，引領(lǐng)新人入坑。

這位 UP 主看上去脾氣好，舉手投足也很有禮貌，毫無攻擊性，實(shí)事也確實(shí)如此。

不過，也正因?yàn)槭磷右糗浀哪?，最近幾個(gè)月，魚皮過得不太順暢。

堪稱一個(gè)受苦，舉步維艱。

從他這個(gè)“程序員之恥 ”的系列視頻中，我們就能窺見一些端倪。

事情，還要從 1 月 10 號(hào)的視頻說起。

魚皮建立了一個(gè)面試刷題網(wǎng)站，叫「測試鴨」，初心純粹——為了幫助廣大程序員面試。

網(wǎng)站里有各種題目，類似于駕考寶典，每個(gè)人都可以根據(jù)自己的崗位模擬面試。

但小樹不修不直溜，沒有一些漏洞攻擊，網(wǎng)站的安全系統(tǒng)就得不到成長。

于是，幾個(gè)熱心網(wǎng)友，不在網(wǎng)站刷題，來幫網(wǎng)站“ 成長 ”來了。

比如在網(wǎng)頁里，整一段< 魚皮是狗>的 xss 狠活兒注入。

編程小知識(shí)：xss，中文名叫跨站腳本攻擊，攻擊者通過在網(wǎng)站注入惡意指令代碼，來獲得更多的網(wǎng)站操作權(quán)限。

或者，直接用爬蟲爬了網(wǎng)站內(nèi) 500 多頁的試題內(nèi)容。

而魚皮的題庫一共才 400 多頁，屬于是提前預(yù)判了 100 頁的內(nèi)容。

編程小知識(shí)：爬蟲，一種抓取公開網(wǎng)站內(nèi)容數(shù)據(jù)的技術(shù)手段。

甚至，有人一口氣刷了 20 萬條灌水內(nèi)容。

直接把網(wǎng)站干崩潰了。

最騷的是，走之前還不忘嘲諷一波。

也有些人，在網(wǎng)站里瘋狂打廣告、惡意刷評(píng)論、刷點(diǎn)贊數(shù)等等。

但與上面幾位大哥相比，已經(jīng)算是出手客氣的了。

歷經(jīng)這次事件之后，魚皮意識(shí)到了自己的網(wǎng)站有很多漏洞，急需修復(fù)。

于是勵(lì)精圖治，回去又改了改 BUG，進(jìn)行了一個(gè)版本的更新。

本來新網(wǎng)站被攻擊，還挺稀松平常的，整件事看著也就像一個(gè)網(wǎng)友們的惡搞。

但誰也沒成想，這次竟然激起了大伙的勝負(fù)欲。

乃至于不少新人拋下狠話，勢必要把網(wǎng)站撂倒，絲毫沒有手下留情的意思。

然后沒過兩天，就有人摧毀了網(wǎng)站的回答區(qū)。

原因是這人在回答區(qū)，回復(fù)了一條多達(dá) 6M 大小的評(píng)論，而他光是昵稱就有 3M 多。

接著自己再回復(fù)一次自己，數(shù)據(jù)量過大，評(píng)論區(qū)就炸了。

后來本人出面，表示沒有惡意，就是玩玩，嗯，玩玩。

還有人克隆了一個(gè)站長魚皮的 ID 和頭像，讓系統(tǒng)誤以為這人是魚皮自己。

這樣一來，他便可以在社區(qū)內(nèi)肆意妄為，發(fā)出的灌水內(nèi)容，連魚皮自己也刪除不了。

更有甚者，想對(duì)網(wǎng)站來上一波 DDoS。

好消息是，攻擊目標(biāo)的 IP 地址搞錯(cuò)了，魚皮的測試鴨網(wǎng)站沒啥事。

壞消息是，一不小心誤傷了另一個(gè)無辜的反饋平臺(tái)。。。

編程小知識(shí)：DDoS，中文名分布式拒絕服務(wù)，可以在隱藏攻擊者 IP 的情況下，塞爆對(duì)方的服務(wù)器，使攻擊目標(biāo)無法正常使用，是一種難以防范、非常強(qiáng)力，造成后果也十分嚴(yán)重的手段。

至此，這位 UP 主就被人盯上了，簡直是個(gè)行走的 AKA 靶子哥。

比如在某天直播里，他本想教教網(wǎng)友們怎么建立自己的網(wǎng)站。

但還沒開始呢，就因?yàn)楸┞读俗约旱?IP 地址，沒幾分鐘，便被人用大流量 DDoS 攻擊了。

現(xiàn)場表演了一個(gè)什么叫直播事故，彈幕里還有稱贊攻擊者技術(shù)高超的。

連續(xù)被錘幾個(gè)月后，魚皮實(shí)在坐不住凳子了。

正如那句俗話所說的一樣，生活若將我擊倒，那我就不站起來了。

所以，他干脆躺平，接受了自己的靶子人設(shè)，二話不說開擺——

專門建立了一個(gè)用來被攻擊的網(wǎng)站。

我這輩子都沒聽過這么離譜的要求.jpg▼

為了讓所有人都能順利攻擊自己的新網(wǎng)站，他甚至還配上了貼心的新手教程。

像下面這個(gè)，根據(jù)提示連續(xù)快速點(diǎn)擊收藏按鈕，就能導(dǎo)致網(wǎng)站反映不過來，而顯示錯(cuò)誤。

對(duì)于超級(jí)小白，還可以使用網(wǎng)站右下角的「工具包」進(jìn)行攻擊。

工具包里內(nèi)含各種快捷選項(xiàng)，不少行為都能一鍵生成。

像生成灌水內(nèi)容、營銷廣告、虛假內(nèi)容等，點(diǎn)擊一下就可以將內(nèi)容復(fù)制到剪切板。

“ 攻打 ”起來，可以說相當(dāng)方便了。

再往下一欄的「專業(yè)工具」里，則需要掌握一定的編程基礎(chǔ)。

比如點(diǎn)擊「查看網(wǎng)頁源代碼」，就會(huì)跳出一個(gè)魚皮留下的登錄密碼提示。

如果你連網(wǎng)頁源代碼都不知道怎么打開，那魚皮還保姆級(jí)手把手教你要點(diǎn)擊右鍵查看。

順便一提，進(jìn)入源代碼頁面后，世超先是全局搜索了一下“ Password ”，結(jié)果啥都沒有，然后又換中文搜了一下“ 密碼”，登錄密碼就出來了。。。

只能說，他是真的怕我找不到，我哭死。

而成功獲取密碼后，在用戶登錄界面，就能直接用站長的密碼登錄了。

每發(fā)現(xiàn)一個(gè) BUG，還會(huì)跳出一個(gè)解鎖成就的小提示。

在網(wǎng)站內(nèi)，表現(xiàn)為 UP 主魚皮的血壓值提升。

說白了，就像是一個(gè)類似游戲內(nèi)的成就系統(tǒng)。

如果實(shí)在找不到 BUG 也沒關(guān)系，因?yàn)榫W(wǎng)站內(nèi)還有個(gè)攻擊提示目錄。

每種攻擊手段下，也都會(huì)附贈(zèng)一段關(guān)于如何防范的科普小知識(shí)，或是跳轉(zhuǎn)到百度百科的鏈接。

對(duì)了，介紹網(wǎng)站的視頻剛發(fā)出來才 3 分鐘，這個(gè)“討打 ”網(wǎng)站，就被人打得上不去了。

看到這，不得不佩服各位老哥的手速。

相信懂行的程序員們，早就察覺出不對(duì)勁了。

因?yàn)楹芏嗟胤剑妓悴簧鲜裁凑嬲暮诳凸簟?/p>

但不得不承認(rèn)的是，這對(duì)剛接觸編程的小白來說，無疑是個(gè)預(yù)防網(wǎng)站攻擊的新手教學(xué)。

而魚皮的目的也是為了給大伙提個(gè)醒，真等到自己建立網(wǎng)站的時(shí)候，能長點(diǎn)記性，做好安全保護(hù)措施。

畢竟，網(wǎng)站被攻擊可是一件家常便飯的事。

正所謂，天下沒有絕對(duì)安全的網(wǎng)站，安全措施做得再好，也有魔高一尺的黑客，找到漏洞。

這些自命不凡的黑客們，有時(shí)候甚至不為了錢，單純就是想證明自己的技術(shù)屌，而導(dǎo)致各種重要網(wǎng)站服務(wù)器癱瘓。

像小網(wǎng)站也就罷了，在一些大網(wǎng)站上，一次崩潰幾個(gè)小時(shí)，可能就會(huì)造成成百上千萬的財(cái)產(chǎn)損失。

比如攻擊支付寶這個(gè)，

但最后被法律的制裁了▼

想要擊敗對(duì)手，就要成為對(duì)手，了解對(duì)方的套路。

所以想學(xué)習(xí)網(wǎng)站防護(hù)，首先就得知道常見的攻擊手段都有啥。

而魚皮這位 UP 主提供了這樣一個(gè)平臺(tái)，那些想自己搭建網(wǎng)站的新手們，現(xiàn)在不去攻打還尋思啥呢？

不過，這也就是個(gè)戰(zhàn)術(shù)交流，大家可別會(huì)錯(cuò)意。

真要再把網(wǎng)站搞到進(jìn)都進(jìn)不去，那就太不地道了。

撰文：赤膊朋克編輯：面線

圖片、資料來源：

B 站 UP 主：程序員魚皮

百度百科、云頭條新聞

關(guān)鍵詞：