小竹:事前防范成本要比事后补救低得多

来源:岁月联盟 编辑:zhuzhu 时间:2010-02-13

  黑客与安全之间有说不完的话题。黑客总给人一种神秘的感觉,而黑客圈子除了高深莫测,给人更多的是好奇,记者諾諾为了满足大家的好奇心,近期约了几位有代表性的黑客团队掌门人(站长)与大家面对面的接触。

  以下是硅谷动力记者:諾諾的采访报导。

  SQL注入经久不衰,已经成为了一种常见的入侵手法,经典教程《SQL注入天书》是很多人都觉得这是一篇他们真正能看懂的SQL注入文章,几乎成了学SQL注入和ASP编程的人群必看文章。著名的SQL注入工具“NBSI”更是因其功能之强大成为了时下黑客们必备的工具。而它们的作者就是我们今天要采访的对象——小竹。

  諾諾:小竹,你好,先给大家介绍下你自己吧。

  小竹:我是小竹,看过《SQL注入天书》和用过“NBSI”的朋友应该都认识我了吧。其实我并不觉得自己是什么黑客,只认为我自己是一个优秀的WEB开发人员, 从开发中总结出SQL注入的经验,第一个系统化的整理了这方面的知识并公开出来而已。

  諾諾:《SQL注入天书》和“NBSI”在黑客圈子里有很多“FANS”的, “FANS们”一定都想知道你是怎么走进这个黑客圈子的?

  小竹:以前我自己写的程序也有一些漏洞的,后来偶然发现了,对网络安全的兴趣便一发不可收拾,加上我原来SQL的基础比较好,所以很快就成为别人眼中的“高手”了。当然,NB联盟中还有几个朋友比我还早认识到SQL注入,只是没太深入研究。

  諾諾:如果我没记错的话,NB联盟是你以前所属的组织吧?

  小竹:是的。NB联盟在ASP和数据库方面有着非常深入的经验,在安全方面仅限于研究脚本漏洞,从而达到完善自己系统而已。由于2003到2005年的注入非常流行,而且在我发布《SQL注入天书》和NBSI之前,很多网站上都存在着一些脚本漏洞,在达到一定知名度后,修补各种漏洞也成了我们的研究和业务范围之内。

  諾諾:在黑客技术当中,有什么事情让你觉得很有成就感?

  小竹:好象没什么觉得很有成就感的事,不过看到自己的作品转载到几乎所有的技术网站,心里还是挺高兴的。当然,同样开心的事是认识了一帮志同道合的朋友。

  諾諾:小竹,你认为“黑客”应该是什么样的定义?

  小竹:我个人看法,黑客就是比较善于发现和利用漏洞的人,黑客必要有严密的罗辑思维,细心且耐心,那些只会用工具的,严格来说不算是黑客。另外,我也不认为自己是黑客,我一直都认为自己只是个优秀的程序员。

  諾諾:对于现在国内很多个人和企业都谈“黑”色变,你作为一个WEB开发人员一定有很深的体会,你来给我们大家分析下目前国内的网络安全状况吧?

  小竹:国内现在的情况是,只要不被黑,几乎没几个个人或公司会投入多少钱去做好网络安全,特别是一些中小型的公司,在这方面的投入几乎为零.所以一出问题,临时抱佛脚的情况很普遍,这也造成了他们在出问题的时候维护成本非常高,也是他们谈黑色变的根本原因。

  諾諾:目前这种网络安全状况,你有些什么样的建议?

  小竹:虽然现在的网络安全状况比03,04年的时候好得多(离不开黑客的"功劳",哈哈),但安全问题还是不容忽视的,在这里我稍微提一下重点吧:

  1.从企业角度:事前防范的成本往往比事后补救要低得多.

  2.从开发者角度:良好的编程习惯,可以杜绝很多安全漏洞."没有绝对安全的系统"只是一个借口,你要做的,就是保证你负责的部分完全没有漏洞.

  3.比某些"黑客"角度:别再以攻下某一个网站做为炫耀的资本,网络安全这潭水深不可测.

  諾諾:在采访的最后,你还有什么话想对大家说的吗?

  小竹:其实黑客技术是用来做什么的,我在以前也经常想过这样的问题,不过在我的文章和工具发布两年后,我很高兴的看到,国内很多网站的安全性,已经比两年前有非常大的提高,注入工具也在慢慢的失去它的作用。其实就象一个医生一样,看到病人少了,心里有点酸,但更多的还是高兴。毕竟在提高中国网站的安全性方面,自己做了不少的贡献。我表达的意思就是,与其去DDOS别人,做一些损人又损己的事,不如把时间花在提高自己水平的事上面,你说对吗?

  諾諾:感谢小竹接受我们的采访。