黑客破解彩票吗?
谢邀! 以前在某个安全公司的时候,确实做过一些彩票网站的渗透测试和漏洞挖掘。 从现在已知的信息来看,这个事件中的彩票网站应该存在两个漏洞,一个是后台管理账户的密码安全问题,另一个是用户投注记录的漏洞。 先来说第一个漏洞。所谓“黑客”修改数据库导致卖出的彩票无法兑现,从技术的角度来讲,只需要一个SQL命令就能达到目的——将指定账户的所有数据删除。所以根本不存在什么“改单”“炒单”的技术手段(虽然我说过可能用到的技术手段,但是我认为这种低级的利用疏忽漏洞造成的影响肯定是短暂的,不可能持续12小时还不被发现)。如果真是这样的话,那“黑客”也太傻太天真了…… 很多漏洞都是由于Web应用在开发或者运维过程中造成的,比如开发人员不小心在代码中留下的“欢迎字符串”,或者是配置文件中的服务器IP或者端口没有加密等等,这些漏洞只要掌握了线索就很容易被发掘出来。还有一些漏洞是由于开发人员忘记了给某些函数添加合理的参数限制,或者没有处理好函数内部的各种边界条件,而导致可以被任意调用的危险函数存在,这样的漏洞也是很容易被发现的。
再说第二个漏洞。这个漏洞的本质是,网站在存储用户信息的时候,未做有效的校验就直接写入数据库,从而可以被轻易爬取到或者插入恶意数据。至于具体是怎样被攻击者发现或者诱使网站方自己泄露的,那就不得而知了。但无论是怎么被攻破的,最终的结果都是一样的,就是可以通过恶意请求的方式来直接读取尚未刮开的彩票号码,或者直接修改尚未出售的彩票号码。
以上只是从我从业经历中挑出一个案例来简单分析,类似的情况遇到过不止一次。现在网上有很多关于这个事件的分析和预测,大多数都言之有理且细节丰满,我就不一一分析了。