首发于evi1m0
碎片 - 5. 脚本小子

碎片 - 5. 脚本小子

5. Fragment,Be reborn.


维基百科对脚本小子的介绍:


脚本小子(script kiddie)是一个贬义词,用来描述:以“黑客”自居并沾沾自喜的初学者。脚本小子不像真正的黑客那样发现系统漏洞,他们通常使用别人开发的程序来恶意破坏他人系统。通常的刻板印象为一位没有专科经验的少年,破坏无辜网站企图使得他的朋友感到惊讶。因而称之为脚本小子。


他们常常从某些网站上复制脚本代码,然后到处粘贴,却并不一定明白他们的方法与原理。他们钦慕于黑客的能力与探索精神,但与黑客所不同的是,脚本小子通常只是对计算机系统有基础了解与爱好,但并不注重程序语言、算法、和数据结构的研究,虽然这些对于真正的黑客来说是必须具备的素质。


因为自己研究和开发能力不够,脚本小子通常使用网上能够下载到的攻击程序。常见的这种软件有WinNuke、Back Orifice、NetBus、Sub7、Metasploit、ProRat、SQLmap、Havij、。稍微有一点经验的脚本小子,可能使用别人发现的安全漏洞的概念证明代码,来编辑成程序。



对了,脚本小子中的“小子”并不是指小孩子。



褒与贬

究竟脚本小子是褒还是贬义词,其实还要看究竟怎样发挥脚本/工具的威力以及对安全的理解,小插曲:黑哥(Superhei)的网名常常以“脚本小子”自居,在黑哥眼里只要你能有目的且能将工具/脚本玩的好,照样是牛逼的(当然能自己动手写更好)。


业界内“大牛”总会称一些小黑客为脚本小子,这其中就有大大的贬性所在。常以“脚本小子”自居的黑哥对一词则是偏爱,褒义词的成份有加了不少。


盲目、不求进取、恶意破坏、滥用安全研究工具的这些,也只好佩以贬义相送。



步骤

  1. 搜索漏洞利用工具

  2. 批量扫描网站是否存在漏洞

  3. 点击工具中的攻击获取网站权限

  4. 进入WEBSHELL篡改网站主页

  5. Share,分享“战果”


上面就是WEB脚本小子常用的套路,以SQL注入漏洞为例:倒退几年网站SQL注入漏洞泛滥的年代促使Domain、啊D等傻瓜式工具的诞生,一些对黑客感兴趣的人就这样从网上下来了绑马的工具然后用的不亦乐乎,一天下来点点鼠标、敲敲键盘把黑掉的网站主页改成自己QQ号码,然后对你说:“看,我把网站给黑了!酷不酷?”



脚本小子的危害性

介于这个脚本小子门槛低导致群体不断壮大(也在不断衰减),他们对互联网造成的危害还是很大的:


  1. 他们眼中没有将漏洞当做安全问题来对待,通常他们能够利用人品将这个攻击影响做到最大化,破坏破坏破坏、炫耀炫耀炫耀已经成为了一种常态。

  2. 获取到权限后他们不会懂得隐藏自我或者正常操作,朋友一篇文章中讲过小黑进入Linux系统后将系统搞崩溃的悲惨故事。

  3. 相对于专业的网络安全研究人员相比,他们拥有广泛的群体优势、时间优势,利用真正黑客开发出来利于安全研究的工具对互联网进行不断测试与破坏。

  4. 只要有逼格,政府网站又怎样?



专业的安全研究人员也有很多经历过脚本小子的过程,当年的脚本小子如今已经成为令人敬佩的高级脚本小子,他们有着代码编写能力、漏洞挖掘分析能力、漏洞利用能力等。


但无论怎样,我们要明白每个行业都有自身的职业素养,成就取决于你的职业素养。



对,职业素养很重要,向高级脚本小子们致敬!

编辑于 2014-06-09

文章被以下专栏收录