BoBlog2.0是一款基于PHP的、以MySQL为数据库支持的单用户blog(网络日志)程序,在经历从文本版到MySQL版的过度后,现在是国内颇有竞争力的一款优秀的PHP博客系统,一直为大众所喜爱,在国内具有相当高的市场占有率。BoBlog2.0无论从性能到代码维护上都具备相当的专业水准,只是安全问题自文本版以来一直让人堪忧。
日前记者得到消息,国内知名的安全组织邪恶八进制信息安全团队的官方站点(www.eviloctal.com)由于BoBlog2.0的一个未公开漏洞导致被黑。一名自称为Wekwen的Scriptkiddie在向邪恶八进制站长私人使用的BoBlog下temp文件夹中写入Webshell后,成功的向站点其他的可写目录上传了两张写有“Hacked By Wekwen”等挑衅字样的网页。该攻击者在得手后立刻奔走于国内多个大型黑客站点的论坛发布消息,声称自己成功渗透了邪恶八进制信息安全团队的官方站点。有网友告诉记者,称Wekwen此前曾经是国内另一安全小组F.S.T的成员。截止发稿前夕,邪恶八进制官方仍未对此事件做任何公开表态。
其实,Wekwen此举并非针对邪恶八进制。事实上就在攻击邪恶八进制的前几周,他曾经与国内另一团体安全天使的站长angel做过多达三次的对峙,并连续三次将安全天使团队维护的sablog项目成功渗透,不过sablog程序也因此逐渐为广大网友所认识。
任何事物都是一样,有其负面性的同时也具备一定的积极意义。对于此次发生在邪恶八进制信息安全团队的安全事件,我们就此寻访了邪恶八进制信息安全团队的站长。
冰血封情站长表示:“黑与不黑到没什么,因为这样毕竟暴露了我们的问题,是好事。每一次暴露问题都可以让我们的安全得到提高。我倒是想认识一下这个朋友,希望他以后更多的指教邪恶八进制的发展。Wekwen并没有做什么破坏行为,仅是传了两张页面上来,说明他还是个有素质的信息安全学习者。”
随后,我们根据所掌握的资料问到关于邪恶八进制信息安全团队和F.S.T的关系的时候。冰血站长表示,邪恶八进制信息安全团队与火狐安全小组(F.S.T)的关系一直很好。就在事情发生的当天晚上,冰血站长还与火狐站长通过网络即时通讯做了联线。火狐站长希望通过冰血站长对大家说,攻击事件与火狐安全小组没有任何关系,Wekwen在数月前已经离开火狐团队另谋高就了,火狐不希望卷入这些无意义的纠纷。
