一月才过去十几天可是就已经酿成不少杯具…于是来盘点下… PHP全局变量未初始化的灾难 在上个月某杂志留意到在介绍PHP漏洞,一个是全局变量初始化,还有一个是远程执行,要说第一个是编程习惯问题,那么第二个我就想不同真的有程序会那么笨的让你远程引用?可惜我忘记如果把两个加起来就… 没错…很久没出现这么让人泪流满面的漏洞,一个人让工具灰客流氓门又找回他们恶心的工作的漏洞… Discuz全局变量在某些情况未初始化造成的杯具…这个漏洞危害很大,应该说对DZ团队响应能力有很大的考验,受灾用户也是最多的…恩…虽然他需要一定的达成条件…但是那么多用DZ的论坛还怕达成条件的少?当然…被沦为笑话的就是黑X论坛被黑了? 比起DZ,另外一个我朝论坛程序PW也未能幸免…而且存在漏洞文件最多…并且多处存在之前说的两个失误同时有的情况…PW的团队真是太不严谨了…恩…于是两大论坛程序一起杯具…撒花… 我想会有更多的程序可能存在这两个问题,就和当初魔法字符BUG被发现时各大PHP程序都杯具一样的… 如果这还只是站长圈的事的话,那么今早的百度被黑事件就又为本月增添了一笔杯具色彩 被黑的方式和推特被黑如出一辙,黑客的来路也是一样的…ICA…如果说当初推特被黑我们还能怀疑是不是推特哪个工作人员的电脑被黑被人拿到域名管理帐号的话,那么这次矛头显然直指注册商管理系统的漏洞,是的,无论你如何注意你的机房,你的服务器的安全,这并不代表你就不会被黑,任何一个可能忽视的环节都会变为突破口,而DNS作为互联网最基础的服务,他的安全问题确实值得担忧,这是在暴风门之后我们又一次认识了DNS的重要性… 当然,Asol和我提到话外音就是这不仅仅是简单的百度在国外注册的域名被黑的问题,很有可能被借题发挥(至少目前CNNIC和某大学教授已经又站出来说话了),这是不是又是一个对目前把国际域名往海外迁的站长门放出的一个警告,也或者是对“关门”的一个暗示,于是面对域名被新网门clienthold还是域名被ICA黑你觉得那个更难以接受呢?