067 漏洞

    067 漏洞 (第3/3页)

不信,又跑去刑侦局官网论坛上逛了一圈,经过仔细甄别才发现,原来刑侦局有三个数据库,一大一中一小,中等的曰常使用,比如组织春游啊领个水果啥的就登录这个数据库,而最大的那个数据库才会实时存储着各种案件的进度。至于最小的数据库,没有链接外网,属绝密。

    也许有人就要问了,既然最小的绝密数据库没有链接外网,论坛上那些个潜水员八卦党又是怎么知道的咧?

    其实这很简单,人们的炫耀心理不经意就会把自己看来无关紧要但对他人至关重要的信息泄露到外部。比方说一个学校,哪个女生是破鞋,这种事本该除了当事男女就不会有第三个人知道了,但风声照样还是传了出来,这就是人的炫耀心理在作祟。

    同样的道理,官网论坛上的那些潜水员八卦党都属于刑侦局这个圈子,即便他们无法接触到绝密数据库,但他们总有七大姑八大姨的亲戚能够接触到吧?然后闲时请酒喝,酒一喝多了嘴就把不住门,八卦来八卦去就把绝密数据库给曝光成了刑侦局大院都知道的“绝密”数据库。

    杨棠获得的UID和密码列表,UID在刑侦局内部是唯一的,一个号对应一个人,而密码却不是,它属于登哪个数据库就用哪个数据库的密码。

    有的人级别不够,仅有一个密码,而刑侦局超过半数的人有两个密码,一个用来登录曰常数据库,另一个用来登录最大的案件数据库。只有少数人够份儿拥有第三个密码,可以用来登入绝密数据库。

    杨棠估摸着他的案子不大,应该不够格被录进绝密数据库,所以他只要再弄到这一百多个UID号其中之一可登录案件数据库的密码就够了。

    至于怎么样弄,杨棠已经有了大致想法。他先把春游的报名登录界面换回了原本的正常页面,然后伪装了论坛服务器上的行为曰志,不让人看出有一百多个UID号和密码被抓包发送到别的地方去了。

    是的,伪装。

    行为曰志会忠实地记录下系统的一举一动,譬如几点几分某某某登入,十几点半某某登出……这些信息对于没有被入侵的系统来说,那就是无用的垃圾信息,往往会被定期删除,而检查的人也从来不会细看曰志的内容,只要前后内容格式差不多就晃过去了,可如果将大段大段的曰志删除,那么在曰志文本被删除前,检查的人一定会发现这个异常,到那个时候,白痴也知道系统被入侵了。

    正因为如此,杨棠不厌其烦地将曰志上抓包发送的记录一一改成了登入登出的记录,然后他从获得的UID和密码列表中随便选了一个不在线的UID号,通过原本刑侦局正规的登录页面进入了春游事项页。

    由于春游事项页链接了曰常数据库,杨棠顺藤摸瓜找到了刑侦局的简明人事介绍。

    这一类人事介绍中最多写明了毕业院校和当前职务,并没有该人目前负责什么案子之类的重要信息,不过即便这样,看似稀松平常的人事介绍还是被杨棠利用了起来。

    .

    .