本文目录一览:
图片病毒是什么原理
图片病毒技术原理剖析
一、被诅咒的油画
在网络上流传着一幅诡异的油画,据说很多人看后会产生幻觉,有人解释为油画的构图色彩导致的视觉刺激,也有人认为是心理作用,众说纷纭,却没有令人信服的答案。在网络公司上班的秘书小王也从一个网友那里得知了这幅画,她马上迫不及待的点击了网友给的图片连接。
图片出来了,小王终于见识到了传说中诡异的油画,面对着屏幕上那两个看似正常的孩子,她却觉得背后凉飕飕的。那网友也很热心的和她聊这幅画的来源,小王入神的听着,丝毫没有注意到IE浏览器左下角的状态栏打开页面的进度条一直没停止过。
如果说小王刚才只是背后发冷的话,那么现在她已经是全身发冷了:电脑光驱自动弹了出来,刚按回去又弹了出来,她着急的请教那个网友,那边很平静的说:“哦,也许是光驱坏了吧,我有事先下了,你找人修一下。”然后头像暗了。
小王已经无法回复他的话了:鼠标正在不听使唤的乱跑,键盘也没了反应,过了一会儿,电脑自己重启了,而且永远停留在了“NTLDR is missing...”的出错信息上。
显而易见,这又是一个典型的木马破坏事件,但是小王打开的是图片,难道图片也会传播病毒了?答案很简单也很出人意料:小王打开的根本不是图片。
IE浏览器的功能很强大,它可以自动识别并打开特定格式的文件而不用在乎它是什么文件后缀名,因为IE对文件内容的判断并不是基于后缀名的,而是基于文件头部和MIME。当用户打开一个文件时,IE读取该文件的头部信息并在本机注册表数据库内查找它对应的MIME格式描述,例如打开一个MIDI文件,IE先读取文件前面一段数据,根据MIDI文件的标准定义,它必须包含以“RIFF”开头的描述信息,根据这段标记,IE在注册表定位找到了“x-audio/midi”的MIME格式,然后IE确认它自己不具备打开这段数据的能力,所以它根据注册表里的文件后缀名信息找到某个已经注册为打开后缀名为“.MID”的文件,然后提交给此程序执行,我们就看到了最终结果。
正是因为这个原理,所以IE很容易受伤。入侵者通过伪造一个MIME标记描述信息而使网页得以藏虫,在这里也是相同的道理,小王打开的实际上是一个后缀名改为图片格式的HTML页面,它包含上述两个漏洞的病毒文件和一个高度和宽度都设置为100%的图片IMG标记,所以在小王看来,这只是一个图片文件,然而,图片的背后却是恶毒的木马。木马程序体积都比较大,下载需要一定时间,这就是IE进度条一直没停止的原因。入侵者为了确保受害者打开页面的时间可以使整个木马文件下载完毕,就采用了社会工程学,让受害者不会在很短的时间内关闭页面,当木马下载执行后,“图片”的诅咒就应验了。
二、位图特性的悲哀
他是一家公司的网络管理员,在服务器维护和安全设置方面有足够多的经验,因此他无需惧怕那些利用浏览器漏洞实现的病毒。这天他在一个技术论坛里看到一个网友发的关于AMD某些型号的处理器存在运算瑕庇的帖子,并给出一个测试页面连接,根据官方描述,如果你用的CPU存在瑕庇,那么你会看到页面上的测试图片显示得破损错乱。他心里一惊:自己用的CPU正是这个型号。他马上点击了页面连接。
看着页面上乱七八糟的一幅图片,他心里凉了一截:这台机器的CPU居然有问题,而他还要用这台机器处理公司的重要数据的!他马上去管理部找负责人协商,把显示着一幅胡里花哨图片的机器晾在一边。
管理部答应尽快给他更换一台机器,让他把硬盘转移过去,因为上面有重要的业务资料。他回来时看到那幅图片还在耀武扬威,他厌恶的关闭了页面,照例打开存放资料的文件夹,他的脑袋一下子空白了:资料不见了!谁删除了?他慌乱的查找硬盘每个角落,可那些文件却像蒸发了一样。许久,他终于反应过来了:机器被入侵了!他取下硬盘直奔数据恢复公司而去。
事后他仔细分析了原因,因为机器已经通过了严格的安全测试而且打了所有补丁,通过网页漏洞和溢出攻击是不可能的了,唯一值得怀疑的只有那个所谓的瑕庇测试网页了,他迅速下载分析了整个页面代码,看着页面源代码里后缀名为“.BMP”的IMG标记和一堆复杂的脚本代码,他知道自己是栽在了BMP木马的手上。
那幅“测试瑕庇”的图片,无论到什么机器上都是一样有“瑕庇”,因为它根本不是图片文件,而是一个以BMP格式文件头部开始的木马程序。
为什么看似温顺的图片文件也变成了害人的凶器?这要从位图(Bitmap)格式说起,许多朋友应该都知道流传了很久的被称为“图片藏字”的“密文”传播方式,即在位图文件尾部追加一定量的数据而不会对原位图文件造成太大破坏,这是位图格式的限制宽松而造成的。系统判断一个位图文件的方法并不是严格盘查,而是仅仅从文件头部的54字节里读取它的长宽、位数、文件大小、数据区长度就完成了图片的识别,宽松的盘查机制使得BMP木马得以诞生。
不过先要澄清一点概念,BMP木马并不是在BMP位图文件屁股后追加的EXE文件,而是一个独立的EXE可执行文件,但是它的文件PE头部已经用位图文件头部替换了,由于系统的盘查机制,这个EXE文件就被浏览器认成位图文件了。既然是位图,在浏览器的程序逻辑里,这是需要下载到Internet高速缓存文件夹然后显示在页面上的文件,但是因为这个文件本来就不是位图,它被强制显示出来以后自然会变成一堆无意义的垃圾数据,在用户眼里,它就成了一幅乱七八糟的图像。但这不是引起木马危机的原因,要留意的是这些文字:“需要下载到Internet高速缓存文件夹”!这说明浏览器已经请狼入室了——木马已经在硬盘上安家了,但是目前它还在沉睡中,因为它的文件头部被改为位图格式,导致它自身已经不能运行,既然不能运行,理所当然就不能对系统构成危害,那么这只狼在硬盘呆多久也是废物一个,入侵者当然不能任由它浪费,因此他们在做个页面给浏览器下载木马的同时,也会设置页面代码让浏览器帮忙脱去这只狼的外衣——把位图格式头部换成可执行文件的PE头部,然后运行它。经过这些步骤,一只恶狼进驻了系统。
这个无法修补的漏洞十分可怕,用户很难知道他们正在浏览的页面是否正在偷偷下载着木马数据,因为即使他们打好了所有补丁也无济于事,木马是被IE“合法”下载的,不属于代码漏洞,而且单靠程序本身也很难判断这个图像是不是木马程序,机器靠二进制完成处理工作,而不是视网膜成象交给大脑判断。但是,由于这也是需要下载文件的入侵方式,它能否下载完毕以及用户愿不愿意去看页面就要取决于入侵者的社会工程学了,在任何一个页面里放出一个乱七八糟的图片或者来一个隐藏的图片框都不是最明智的选择,除非利用一些“暇庇声明”或更能引起人的兴趣的伎俩。那家公司的网管之所以会这么不设防,就是因为攻击者偷用了人们的“心理盲区”,因为人们对安全、漏洞、病毒、暇庇等内容会特别敏感,所以入侵者发个专业暇庇案例就欺骗了一大堆人,这次是拿真实的事件:AMD某些型号CPU会导致图像显示出问题的暇庇来做鱼饵,下一次又该拿什么了呢?
三、魔鬼的诅咒
对于某娱乐论坛的大部分用户来说,今天是个黑色的日子,因为他们在看过一个《被诅咒的眼睛》油画帖子后,系统遭到了不明原因的破坏。
论坛管理层的技术人员立即对这个帖子进行了多次分析,可是整个页面就只有一个JPEG图片的连接,其他恶意代码和程序根本不存在。入侵者靠什么破坏了看帖用户的机器?难道竟是这个JPEG图片?
答案恐怕让人难以接受,的确就是这幅JPEG图片让用户感染了病毒。尽管病毒研究一直未曾停止,可是发展到这个地步,实在让人不能承受:再下去是不是打开一个文本文件都会被感染病毒?
图片带毒来袭,实在让所有人都擦了一把汗,然而我们都知道,JPEG、GIF等格式图片不具备可以执行自身并散播病毒的条件,这不符合逻辑。回忆一下2004年9月14日的事,微软发布了MS04-028安全公告:JPEG处理(GDI+)中的缓冲区溢出可能使代码得以执行。没错,就是这个漏洞,它的术语叫GDI+,对应的动态链接库为GdiPlus.dll,这是一种图形设备接口,能够为应用程序和程序员提供二维媒介图形、映像和版式,大部分Windows程序都调用这个DLL完成JPEG格式图片的处理工作。但是现在,正是这个“公众人物”成了众矢之的。
说到这里,有基础的读者应该明白了吧:并不是图片自己能传播病毒,而是系统负责图形处理工作的模块会在处理图片时发生溢出导致图片内携带的恶意指令得以执行破坏。如果某个图片工具不调用这个系统模块,而是使用自己的处理模块,那么同样包含恶意指令的图片就不能达到破坏目的。但是因为这个系统模块是默认的处理模块,所以大部分程序在“JPEG病毒”面前纷纷落马。
这个溢出是怎么产生的呢?这要从系统如何读取JPEG格式图形的原理说起,系统处理一个JPEG图片时,需要在内存里加载JPEG处理模块,然后JPEG处理模块再把图片数据读入它所占据的内存空间里,也就是所说的缓冲区,最后我们就看到了图片的显示,然而就是在图片数据进入缓冲区的这一步出了错——Windows规定了缓冲区的大小,却没有严格检查实际容纳的数据量,这个带缺陷的边界检查模式导致了噩梦:入侵者把一个JPEG图片的数据加工得异常巨大并加入恶意指令,那么这个图片在系统载入内存时候会发生什么情况呢?图片数据会涨满整个JPEG处理模块提供的缓冲区并恰好把恶意指令溢出到程序自身的内存区域,而这部分内存区域是用于执行指令的,即核心区,于是恶意指令被程序误执行了,入侵者破坏系统或入侵机器的行为得以正常实施。有人也许会疑惑,入侵者都是神算子吗,他们为什么能准确的知道会是哪些数据可以溢出执行?答案很简单,因为Windows在分配JPEG处理模块的空间时,给它指定的内存起始地址是固定的,入侵者只要计算好这个空间大小,就能知道会有哪些数据被执行了,所以JPEG病毒迅速传播起来。
所谓JPEG病毒,并不是JPEG图片能放出病毒,而是系统处理JPEG图片的模块自己执行了JPEG图片携带的病毒,所以我们大可不必人心惶惶,只要补上了GDIPLUS.DLL的漏洞,那么即使你机器上的所有JPEG图片都带有病毒数据,它们也无法流窜出来搞破坏,正如美国马萨诸塞州立大学助理教授奥斯汀所言:“病毒不仅仅是可自我复制的代码,他们需要通过可执行代码的方式来进行传播。JPEG文件不能执行代码,他们是由应用软件打开的数据文件。应用软件不会去查找数据文件中的可执行的代码,为此不会运行这些病毒代码。”
四、防范
对于虚假图片文件的欺骗手法,只要用户补上了MIME和IFRAME漏洞,那么入侵者让你停留多久也无济于事;至于BMP木马,它的防范是几乎不可避免,但是它有个最大的弱点,大部分情况下只能在Win9x环境正常执行,用Win2000以上的用户不必草木皆兵了;而对于JPEG病毒来说更好办了,微软已经提供JPEG模块的更新了,你倒是去补一下啊!即使真的一点也不会,买个防病毒软件在后台监视也OK了,但是为什么国内用户却偏偏喜欢徒劳的恐慌?
纵观这一系列图片病毒的原理和手法,我们可以发现“社会工程学”这个身影的扩大化趋势。如何避免被骗,这只能看你自己了。
关于校内网的问题,高手进!
如何注册成为校内网用户?
校内网xiaonei.com现阶段向高中生,大学生和公司用户开放,为保证用户隐私,你需要经过以下步骤才能注册成为正式用户:
到注册页面,填写您的真实姓名,邮箱地址和设置密码。选择您是高中生,大学生或公司用户,我们将根据您的身份来决定您的注册方式和资料填写。根据要求填写相应的注册信息,用自己的email作为账号注册;
到你的注册邮箱查收来自校内网的激活信,点击邮件里的激活链接激活你的账号,如果你的邮箱收不到校内网的激活信,可以从注册邮箱向reg@xiaonei.com发信申请激活;
激活成功后通过验证即可成为正式用户。
如何验证你的身份?
你可以通过以下任何一种方式验证你的身份:
高中生用户:根据我们所发放的注册码注册(注册码和学校是相对应的,一个注册码只能注册一个账号);没有填写注册码的同学注册进入后成为待审核状态,需寻找同校同学,并发送加入高中网络的申请,待对方对你进行身份认证。
大学生用户:注册时所用机器IP在所选学校IP列表里或者用学校官方邮箱注册的账号激活后直接通过身份验证;如注册时IP与该大学的IP不符也没有学校官方邮箱,则需提交相关资料,经管理员审核批准加入。
公司用户:目前只允许通过公司邮箱认证您的公司用户身份,没有公司邮箱将确定不了您的身份,不予注册。
为什么需要激活?
为了方便你在忘记密码或者帐号被盗时取回密码和帐号,你需要到你的注册信箱中激活校内网帐号。
我没有收到激活信怎么办?
先试下重发激活码
如果你还没收到激活信,你可以从你的注册信箱给reg@xiaonei.com发信,管理员会尽快解决
登录
为什么很多操作需要登录才能执行?
校内网的同学们大多使用真实信息,为了保护同学们的隐私,凡是涉及到同学们具体信息的操作,都得登录以后才能执行。
登录失败怎么办?
可能你还没有注册,先去注册吧。
可能你的账号还没有激活,先激活你的账号吧,查收校内网寄给你的信,点信内的链接,就可以激活账号了;没收到激活信?
你的注册email或密码输入错误,比如不小心输错了大小写。
试过好多次,还是账号密码错误,试下取回密码吧
账号密码
忘记密码怎么办?
系统提示密码错误后,你可以点击“取回密码”,输入注册邮箱后,到该邮箱中去查收取回密码的信件。如果你试过后没有收到取回密码的信件,那么你可以从该邮箱中发信给reg@xiaonei.com申请取回密码。
如何修改注册邮箱?
点击页面左边“账号信息”,可以修改邮箱。注意,你修改了登录email以后,校内网会给你的新email发送一个验证链接,你需要用该链接验证这个新的email属于你,修改的email才会生效。
如何修改密码?
点击页面左边“账号信息”,可以修改密码。
邀请
如何邀请朋友加入校内网?
点击首页链接“邀请朋友加入校内网”。
通过msn邀请:输入你的msn帐号的信息,我们会帮你找到你有哪些msn朋友已经注册了校内,你还可以向没有注册校内的朋友发送邀请邮件。我们不会记录你的帐号密码或未经允许发送邮件。
通过链接邀请:点击“复制邀请链接”,然后把这个链接发给朋友,邀请他们注册,或者把这个链接复制到你的QQ或MSN的签名档中。
通过Email邀请:在收信人处填写朋友的 Email 地址,如果要一次多邀请几个,可以用逗号来分隔多个Email,然后点击“发送邀请”即可。
什么是校内介绍人?
你的同学接受邀请加入校内网后,你便成为他们的校内介绍人。作为他们的校内介绍人,你的信息会出现在他们的页面上,以方便他们找到你并融入校内网。
网络设置
在校内,默认同网络的人是可以互相浏览个人主页的,所以加入相应网络决定你在校内的浏览权限。
如何加入网络?
点击顶部导航“网络管理我的网络”,高中生升学后通过ip、email认证或者审核即可加入大学网络。大学生毕业参加工作,可以通过填写你的公司内部工作邮箱来加入公司网络。
如何离开网络?
点击顶部导航“网络管理我的网络”,在你所加入的网络名称右侧,点击“离开网络”即可退出该网络。退出后再想加入仍然需要验证。
什么是当前网络?如何设置?
当前网络表示你目前的真实状况,例如大学生的当前网络应为某大学,公司用户的当前网络应为某大学。当前网络将作为你最主要的网络出现在你的页面上,当你留言、发帖时,会出现你的名字后面。
点击顶部导航“网络管理我的网络”,在你所加入的网络右方,点击“设置为当前网络”即可。
搜索
搜索首页分3个Tab:同事/同学•群•高级搜索。对于不同身份的用户,所使用的搜索功能有所不同。
高中用户的搜索功能:
如何查找高中同学?
在基本搜索中输入你要查询的同学姓名,同时选择你要查询的高中名称,点击‘搜索’按钮: 如果忘记了同学的姓名,或者同学的高中名称,也可以通过只选择姓名或高中名称进行搜索: 在搜索结果页,对搜索结果再进行筛选:
如何查找初中/小学同学?
初中/小学搜索中系统默认了你的初中或小学名称,只需点击‘搜索’按钮,就能找到所有在校内网注册的初中同学: 如果你还记得初中同学的姓名,可以同时输入同学姓名进行搜索: 在搜索结果页中,对搜索结果再进行筛选:
高级搜索
在高级搜索中增加了性别、家乡、生日、星座的搜索属性,可以通过一次性输入条件对同学进行精确搜索。
大学用户的搜索功能:
如何查找大学同学?
在基本搜索中输入你要查询的同学姓名,同时选择你要查询的大学名称,点击‘搜索’按钮: 如果忘记了同学的姓名,或者同学的大学名称,也可以通过只选择姓名或大学名称进行搜索: 在搜索结果页,对搜索结果再进行筛选:
如何查找高中同学?
高中搜索中记录了你的高中名称,只需点击‘搜索’按钮,就能找到所有在校内网注册的高中同学: 如果你还记得高中同学的姓名,可以同时输入同学姓名进行搜索: 在搜索结果页中,对搜索结果进行筛选:
高级搜索
在高级搜索中增加了性别、家乡、生日、星座的搜索属性,可以通过一次性输入条件对同学进行精确搜索。
公司用户的搜索功能:
如何查找同事?
在基本搜索中输入你要查询的同事姓名,同时选择你要查询的公司名称,点击‘搜索’按钮: 对搜索结果进行筛选: 姓名为必填项,不支持单独选择公司名称的搜索。
如何查找大学同学?
大学搜索中默认了你的大学名称,只需点击‘搜索’按钮,就能找到所有在校内网注册的大学同学: 如果你还记得大学同学的姓名,可以同时输入同学姓名进行搜索: 在搜索结果页中,对搜索结果再进行筛选:
高级搜索
在高级搜索中增加了性别、家乡、生日、星座的搜索属性,可以通过一次性输入条件对同学进行精确搜索。
除了搜索页面的搜索功能,还有什么搜索方法?
针对不同信息,校内网提供了全面多样化的搜索功能。你可以通过点击个人主页上的资料信息,如公司、学校、院系、入学年份、宿舍楼、生日、星座、性别、家乡、高中、加入的社团、喜欢的音乐、喜欢的书、喜欢的电影、喜欢的游戏和兴趣爱好等搜索到同身份和你具有相同某种特质或爱好的同学或同事。 另外,你也可以通过校内网高级搜索来搜索具体某些具体信息的同学。
返回个人资料
修改个人资料?
点击页面左边的编辑就可以修改你的基本信息、联系方式、学校信息、个人信息和工作信息等。 基本信息填写真实,这样可以找到老乡、同月同日生。通过你的资料上的学校信息,你的小学、初中、高中和大学同学都可以更方便的找到你。 联系方式,根据个人想法写就好。目前,你的联系只会向你的好友公开。 个人信息是你展示个性的一个方面,如果你希望同你具有相同爱好的朋友可以方便的找到你,可以写的尽可能规范,用正确的分隔符分开每个关键词,书名号可以不写,游戏的版本号也可以不写,如果你不喜欢这些限制可以完全无视这些东西,随心所欲。
日志功能
如何在日志中添加好友?
当你编写或编辑一篇日志的时候,在该页面的右侧会有提示添加相关好友的输入框,只需点击该输入框进入选择好友的下拉菜单,就可以直接对好友进行勾选,确定加哪些跟这篇日志相关的好友。
如何查看添加过自己的日志?
想知道你哪些朋友的日志添加了你,只需要点击页面上方的与我有关的日志,就可以查看所有添加过你的日志。
如何查看添加过朋友的日志?
想知道你的朋友都被添加进了哪些日志,你只要直接进入该好友的日志页面,点击页面上方的‘与xx有关的日志’就可以看到了。
被添加进自己不喜欢的日志,该怎么办?
通过点击‘与我有关的日志’,可以观看到添加你的日志名称以及日志作者,如果你不喜欢被某些日志添加,可以点击该日志条目右侧的‘退出’按钮。退出之后,你的名字就不会在该日志上显示了。
如何使用日志中的导入日志功能?
点击“我的日志”页面右侧的“导入日志”链接,进入导入日志的具体页面;
在导入日志页面的输入框中提交你的站外博客的rss源,阅读并接受校内导入日志服务条款后,点击开始导入;
系统将读取到该站外博客的相关信息,你可以从中勾选导入哪些日志并对它们进行隐私设置。点击导入选中日志后,这些日志将根据你的设置出现在校内日志中。
系统如何自动更新你的导入日志?
系统根据你所提交的rss源,检测到该站外博客有更新时,我们会通过站内信通知你,并在该信件中附带链接。通过该链接到具体页面上勾选导入哪些日志并对其进行隐私设置。
如何更改已经系统提交的导入信息?
若你希望校内不在将该站外博客中的更新日志导入到你的校内日志中;或是想更换之前所提交的rss源导入你的其它站外博客。
在日志首页右侧,可以看见修改导入设置的入口。到导入日志页面修改当前设置。点击“停止导入”后,系统将不再读取你之前所提交的rss源的相关信息。
导入日志同直接在校内发表的日志相比,有哪些区别?
在校内日志中,我们也会将标示这些日志属于导入站外日志,并附上这些导入日志的原地址。这些导入日志将不能再次编辑,但导入人有权删除,其它用户可以分享、评论。
分享功能
我可以分享什么?
通过分享功能,你可以将校内日志、照片、相册、群帖子,活动,个人页面以及站外链接分享给你的好友。
如何分享站内信息?
点击分享按钮,你可以选择添加到你的分享列表或是通过站内信分享给指定好友
选择“分享给我的好友”,我们会将你所分享的内容以及评论通过站内信的方式发送给你指定的好友;或者你可以选择“添加到我的分享”,将该内容添加至你的分享列表中。
如何分享站外资源?
你可以将你感兴趣的资源网址,输入或者粘贴至分享页面右侧的输入框中,点击分享按钮进入分享设置页面,你可以添加评论并且选择分享范围。
怎样删除我的分享记录?
点击分享首页上方的“我的分享”链接,进入你的个人分享页,点击你想删除分享项右上角的“X”即可删除该条分享记录。
返回星级用户
如何成为星级用户?
要想获得星星需要的同时满足这三条:
本人的、真实的、近期的、能看清楚脸的照片作头像;(上传头像)
本人的、真实的中文姓名,可以加些修饰但一定要能看出哪个是名字来;
较为完善的个人资料。
星星是管理员手工处理,可能会有一天的延迟。若用户完善信息24小时后发现自己符合条件却仍然没有加星。可能是被管理员误判了,请点击首页提示的”立刻申请加星”,管理员24小时内会重新审核加星。如果你的首页没有”立刻申请加星”项,则说明你已经是星级用户。
注意:有些同学美化页面的时候,添加的代码可能会导致星星被隐藏。
具体评定标准
成为星级用户之后就一直是星级用户了吗?
不是。如果你换照片、改名字以及修改个人资料,管理员都会重新审核以决定你是否继续作星级用户。
星级用户拥有什么特权?
成为星级用户后,只要登陆,该用户的相册空间就可每天增加1M,一天中若没有登陆则不增加。
新用户注册会得到100积分,经过审核成为星级用户后增加100积分,若删除照片或修改资料导致被取消星级用户资格,则扣掉100积分。
只有星级用户才能更改自己的大学网络和高中网络。
星级用户可以建群、发布告、作群管理员,只有星级用户会在"随便看看"和“人气之星”中出现。注意,建群、发布告、群发站内邀请需要花积分。
人气之星(此功能只对大学用户开放)
什么是人气?
在校内网我们说的人气就是指自己页面被其他同学访问的次数。
如何提高人气?
关于如何提高人气嘛,在群里发很有水平的帖子、写出很吸引人的日志、认真对待每个好友和来访的客人都是不错的主意,还有就是一个漂亮而又与众不同的页面会让大家想再来看看。另外通过一些非正当手段提高人气将属于被人鄙视的行为,情节严重者还可能面临对人气清零甚至删号的危险。
如何成为人气之星?
成为人气之星必须满足:
星级用户;
人气值在本校或在校内网排名前100名;
经常上线。
如何查看本校人气之星?
在你首页下方会随机显示你所在大学的6个人气之星,如果你发现谁的照片是假的可以向系统管理员举报,得到证实后,明天那位同学将不再是人气之星。
关于积分
如何获得积分?
每天每人最多可以获得100,发帖5/帖、日志5/篇,留言评论1/条,不过每个数值会随当天的得分的逐渐接近100而逐渐减少,每天总分不能超过100。
积分怎么花?
建群50/个,布告20/天,邀请5/人,随机招呼1/次。其中建群和布告只有星级用户才能操作。邀请必须是星级用户管理员才可以发出,被邀请者接受的,原来花的5分还给邀请者,不受100分限制,不接受的将不予返还。
负分了怎么办?
负分除了那些需要积分的操作不能作外,没什么不良影响。
积分和星星有关系吗?
没有关系。
返回关于群
如何搜索群?
你可以通过页面左边我的群页面右上角搜索框进行搜索,也可以通过页面上方搜索中的群搜索来搜索。请注意,群的搜索是分大小写的。
如何建新群?
你可以通过页面左边我的群进入新建群里建立一个自己的群,并通过邀请或者其他形式的广告来吸引别人加入。当然如果你建了群之后才发现已经有了类似的群也没关系,如果那个群发展得很好你可以加入他们,把自己的群改个名字留作他用,如果发展的不好,那你就加油超过他们。
订阅该群和加入该群有什么区别?
所谓订阅是针对群而言的,就是不去群主页就能看到群里有没有新帖,有没有新回复,直接点“我的群”即可查看自己订阅的群的最新动态。新注册的用户默认订阅两个群:本校的群和新手上路群。 注意:订阅群和加入群不是一个概念,对于公开群,即使不加入只要订阅了也可以随时关注,对于加入的群如果不订阅的话必须进入群里才能看有没有新帖。订阅或取消订阅一个群在群主页的右上角可以看到对应的链接。
什么是优秀群?
在新手上路页面上有一些不错的群推荐给大家。所谓优秀的群,包含三个因素:优秀的管理团队,积极的群成员和良好的群氛围。其实推荐的这些群最关键的在于它们有了很难得的群众基础,因为一个人很少的群要壮大并非容易的事。而且这些群的首页里有不少友情链接,比如音乐天下里有xiaonei大部分音乐群和歌手群的链接。
如何成为一个群的管理员?
如果你对某个群的内容非常感兴趣,并认为自己可以有能力管理,可以在加入某个群之后,点击右上角的“申请管理员”,等待群主批准或拒绝,如果批准了,你将拥有这个群的管理员权限,包括:对帖子的操作(改主题、删主题、封主题、删回复、置顶及取消)、对成员的操作(踢人、封人、批准加入)、对群的操作(邀请成员、修改页面、增加分版等)。 管理员不仅意味着权利,也包含了责任,如果整天不管群里的事务,不维护秩序,不去邀请人,也不发有用贴,那将没有资格继续做管理员,不如腾出位子给更有热情的人。 另外每个群有一个特殊的管理员叫群主,一般是群的创始人,他可以解除其他管理员的职务,甚至可以删了整个群,所以需要更强的责任心,当群主因为毕业或其他原因无力管理群的事务时,可以将自己的位子让给其他管理员。
如何在群里上传文件?
发贴或回帖时,点击“上传图片或文件”,然后点“浏览”,在电脑上找到想要的文件,点“打开”,然后发表帖子即可。上传的限制是1M,除了把好玩儿的图片贴出来与大家分享外,还有就是储存自己必要的涂鸦板资源,包括图片、音乐、flash和鼠标等。一般的文件都不会超过1M,只有音乐文件可能超,通过软件压缩到32kbps或更低的wma格式即可。 最后提醒大家,大部分学校的群或一些大群都会有单独存放涂鸦板文件的帖子,新手上路群也有置顶贴供大家使用,所以请不要将文件随便跟到与之无关的某一贴里,这将是对发贴者和回帖者的不尊重,而且很有可能被管理员删除,所以为了您和他人的利益请按规定回帖。 现在已经开通了相册功能,如果是自己要用的照片,大家尽量贴到自己的相册,而不是群里,这样可以避免被管理员删掉。 上传的文件格式可以是:jpg、jpeg、png、bmp、gif、mpeg、avi、mpg、wav、m3u、wmv、asf、wm、asx、wma、mp3、swf、rm、rmvb、doc、xls、txt。
关于课程(此功能只对大学生用户开放)
如何给自己添加课程?
在页面左边我的课程里可以添加上过、在上和想上的课程,千万别小看这个,还是很有用的。如果你想上哪门课,可以查找上过这门课的同学,问他一些关于考试什么的问题,买二手课本也成。如果你在上某些课程,可以看看还有谁也在上,问问作业什么的,那天懒得上了还能看看有没有人帮着答个到签个名的。 如果本校课程列表中没有某门课程怎么办? 如果你确定你们学校有开这门课,那么你可以自己添加课程。
关于活动(此功能只对大学生用户开放)
如何创建活动?
你可以通过页面左边我的活动来创建新活动。
什么样的活动会被推荐在首页?
活动一旦被推荐,会出现在本地区首页随机播放,能够大大提高活动的影响力。被推荐的活动至少要满足以下条件:
活动名称有信息量;
发布者为星级用户(防止发布假信息欺诈);
有详细的活动计划和时间、地点等;
活动持续时间合理(如上自习一年内有效就会被视作不合理);
其它酌情处理。
举报设置
如果发现了任何有违规行为的用户、照片或留言,都可以在相应页面上找到举报链接(举报用户的链接在用户页面的下方)。点击链接后页面跳转到填写具体信息的举报页面,需要根据不同情况说明举报原因及描述违规用户的行为。管理员会在第一时间处理您的举报信息,处罚违规用户。
封禁投诉
什么样的情况会被封禁?
任何违反《校内网账号管理办法》的用户会被管理员警告或者封禁某种权限。被封禁的同学不再另行通知,将在使用功能时看到提示(包括封禁的原因和执行封禁的管理员)。
什么样的情况会被封杀账号?
任何违反《校内网账号管理办法》的封禁都是酌情处理,严重的都可能封杀账号。但以下三种情况直接封杀账号,①用机器人攻击网站;②在本站内任何地方上传或散播病毒;③使用恶意代码盗取cookie或者进行xss攻击(如果你看不懂这个描述,证明你不会这么作,hoho)。
打招呼
什么是打招呼?
所谓打招呼就像见面说声Hi一样。打招呼分为随机打招呼和向某个指定的同学打招呼。随机打招呼的链接在“首页”上方,每次消耗一个积分。
加好友
如何加好友?
在他的页面点击“加为好友”,等待对方确认,同意后系统会自动以对方名义给你发一封提醒信。如果仅仅因为对方漂亮或很帅就要加好友,倒也无可厚非,不过无论如何加之前最好向人家说一声,这是对自己的负责也是对他人的尊重,如果你主动加了人家以后却不去理人家,总有一天会被人遗忘的。〔校内网不鼓励大家加太多好友,就象你在现实中不会有上千个好友一样,太多的好友会使你真正的好友的信息被淹没,太多的好友等于没有好友〕
点击“我的好友”可以查看当前在线的好友,适时地问候和祝福是增强友谊的最好方式;点击“好友的日志”则可以方便查看对方更新的日志;点击“好友的相册”可以看到好友最近更新上载的照片。在“我的页面”有按学校分的好友列表,可以按学校迅速找到好友。
如何加为特别好友?
进入“我的好友”,点击好友头像右边的“加为特别好友”后,他将成为你的特别好友并显示在你页面的左侧。通过这个功能你可以介绍这位特别好友给大家。
隐私设置
如何保护我的隐私?
目前系统默认的隐私设置是:用户的页面只能被和自己加入相同网络的人浏览,而联系方式是只对好友开放。点击右上角的“隐私”可以修改相关设置。
用户可以对相册和日志分别指定开放程度,需要注意的是,点击右上角“隐私”设置日志相册相关隐私,只是对你的个人主页上的日志和相册模块是否在你的页面上显示进行设置,而你的单篇日志个单个相册的隐私需要你到日志和照片的编辑页面去设置。
此外,你可以把别的用户加入黑名单,被加入黑名单的人不能对你作任何操作,也看不了你的页面。
黑名单
如果有人骚扰你,或者发信到你的留言板砸场子,可以考虑将他加入黑名单,进入他的页面在页面左下角点击“加入黑名单”即可;反之可以通过“帐户信息-隐私设置-黑名单管理”将其移出。
加为黑名单后,对方不能对你进行任何操作包括无法看你的页面、给你发信或留言等。
如果你们原来是好友的话,你需要先和对方解除好友关系才能找到“加入黑名单”的链接。解除好友关系的方法是:在你的好友列表或者在对方页面左下角点击“解除好友关系”链接。
被很多人加入黑名单有什么后果?
如果某个同学被很多人加入黑名单,管理员将会考虑删除这个同学的账号。
什么是随便看看?
随便看看就像你在学校,公司里随便走走一样,可以看到不同的同学,同事。在在随便看看里你可以看到与你在同一网络中的用户,还可以用下拉框选择查看你加入的其他网络的用户。(但他们必须是与你同身份)。
文件上传漏洞攻击方法有什么?
文件上传漏洞是什么?怎样防御文件上传漏洞攻击?文件上传漏洞是web安全中经常利用到的一种漏洞形式。这种类型的攻击从大的类型上来说,是攻击 数据与代码分离原则 的一种攻击。
一些web应用程序中允许上传图片,文本或者其他资源到指定的位置,文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,再通过url去访问以执行代码
造成文件上传漏洞的原因是
对于上传文件的后缀名(扩展名)没有做较为严格的限制
对于上传文件的MIMETYPE 没有做检查
权限上没有对于上传的文件的文件权限,(尤其是对于shebang类型的文件)
对于web server对于上传文件或者指定目录的行为没有做限制
下面就闲话一些文件上传漏洞的防御方式和攻击者的绕过方式
1.前端限制
function check(){
var filename=document.getElementById("file");
var str=filename.value.split(".");
var ext=str[str.length-1];
if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){
return true;
}else{
alert("这不是图片!")
return false;
}
return false;
}
在表单中使用onsumbit=check()调用js函数来检查上传文件的扩展名。这种限制实际上没有任何用处,任何攻击者都可以轻而易举的破解。只能用于对于用户完全信任的情况下,很难称之为一种安全措施只能称之是一种防止用户误操作上传的措施,
反制:
随便的编辑一下页面/用burpsuite/写个小脚本就可以突破之,无须多言
2.检查扩展名
顾名思义,就是在文件被上传到服务端的时候,对于文件名的扩展名进行检查,如果不合法,则拒绝这次上传
在这里,还有一点是值得一提的,在检查扩展名是否合法的时候,有两种策略
黑名单策略,文件扩展名在黑名单中的为不合法,示例代码
$postfix = end(explode('.','$_POST['filename']);
if($postfix=='php'||$postfix=='asp'||$postfix=='sh'){
echo "invalid file type";
return;
}
白名单策略,文件扩展名不在白名单中的均为不合法
$postfix = end(explode('.','$_POST['filename']);
if($postfix=='jpg'||$postfix=='png'||$postfix=='gif'){
//save the file and do something next
} else {
echo "invalid file type";
return;
}
白名单策略是更加安全的,通过限制上传类型为只有我们接受的类型,可以较好的保证安全,因为黑名单我们可以使用各种方法来进行注入和突破
反制
在一些 webserver 中,存在解析漏洞
1.老版本的IIS中的目录解析漏洞,如果网站目录中有一个 /.asp/目录,那么此目录下面的一切内容都会被当作asp脚本来解析
2.老板本的IIS中的分号漏洞:IIS在解析文件名的时候可能将分号后面的内容丢弃,那么我们可以在上传的时候给后面加入分号内容来避免黑名单过滤,如 a.asp;jpg
3.旧版Windows Server中存在空格和dot漏洞类似于 a.php. 和 a.php[空格] 这样的文件名存储后会被windows去掉点和空格,从而使得加上这两个东西可以突破过滤,成功上传,并且被当作php代码来执行
4.nginx空字节漏洞 xxx.jpg%00.php 这样的文件名会被解析为php代码运行
5.apache的解析漏洞,上传如a.php.rar a.php.gif 类型的文件名,可以避免对于php文件的过滤机制,但是由于apache在解析文件名的时候是从右向左读,如果遇到不能识别的扩展名则跳过,rar等扩展名是apache不能识别的,因此就会直接将类型识别为php,从而达到了注入php代码的目的
3.检查HTTP Header中的Content-Type
HTTP协议规定了上传资源的时候在Header中加上一项文件的MIMETYPE,来识别文件类型,这个动作是由浏览器完成的,服务端可以检查此类型不过这仍然是不安全的,因为HTTP header可以被发出者或者中间人任意的修改,不过加上一层防护也是可以有一定效果的
反制
使用各种各样的工具(如burpsuite)强行篡改Header就可以,太容易将header中的
Content-Type: application/php
或者其他类型
改为
Content-Type: image/jpg
Content-Type: image/png
Content-Type: text/plain
等这些web程序允许的泪洗改附上常用的MIMETYPE表
text/plain(纯文本)
text/html(HTML文档)
text/javascript(js代码)
application/xhtml+xml(XHTML文档)
image/gif(GIF图像)
image/jpeg(JPEG图像)
image/png(PNG图像)
video/mpeg(MPEG动画)
application/octet-stream(二进制数据)
application/pdf(PDF文档)
application/(编程语言) 该种语言的代码
application/msword(Microsoft Word文件)
message/rfc822(RFC 822形式)
multipart/alternative(HTML邮件的HTML形式和纯文本形式,相同内容使用不同形式表示)
application/x-www-form-urlencoded(POST方法提交的表单)
multipart/form-data(POST提交时伴随文件上传的表单)
4.分析文件头内容来检查文件类型
与方法2不同,还有一种检查类型的方式是使用对于文件内容的验证机制,这种方法利用的是每一个特定类型的文件都会有不太一样的开头或者标志位。可以通过比如php的exif_imagetype()函数,一个通过这种方法来过滤的示例代码如下:
if (! exif_imagetype($_FILES['uploadedfile']['tmp_name'])) {
echo "File is not an image";
return;
}
也可以自己编写函数来进行识别,图片文件通常有称作幻数的头字节,我们来看一下几种图片文件的幻数:
(注意!下面是二进制而不是文本格式的数据)
JPG
FF D8 FF E0 00 10 4A 46 49 46
GIF
47 49 46 38 39 61
(相当于文本的GIF89a)
PNG
89 50 4E 47
通过检查头几位字节,可以分辨是否是图片文件
如果是其他类型的二进制文件,也有响应的头字节,如下表
反制
给上传脚本加上相应的幻数头字节就可以,php引擎会将
(一般不限制图片文件格式的时候使用GIF的头比较方便,因为全都是文本可打印字符。)
GIF89a
do_something();
?
如果是其他类型的二进制文件,也有响应的头字节,如下表
格式
文件头
TIFF (tif)
49492A00
Windows Bitmap (bmp)
424D
CAD (dwg)
41433130
Adobe Photoshop (psd)
38425053
Rich Text Format (rtf)
7B5C727466
MS Word/Excel (xls.or.doc)
D0CF11E0
MS Access (mdb)
5374616E64617264204A
ZIP Archive (zip),
504B0304
RAR Archive (rar),
52617221
Wave (wav),
57415645
AVI (avi),
41564920
Real Media (rm),
2E524D46
MPEG (mpg),
000001BA
MPEG (mpg),
000001B3
Quicktime (mov),
6D6F6F76
Adobe Acrobat (pdf),
255044462D312E
Windows Media (asf),
3026B2758E66CF11
MIDI (mid),
4D546864
5.限制Web Server对于特定类型文件的行为
导致文件上传漏洞的根本原因在于服务把用户上传的本应是数据的内容当作了代码,一般来说,用户上传的内容都会被存储到特定的一个文件夹下,比如我们很多人习惯于放在 ./upload/ 下面要防止数据被当作代码执行,我们可以限制web server对于特定文件夹的行为。
大多数服务端软件都可以支持用户对于特定类型文件的行为的自定义,以Apache为例:
在默认情况下,对与 .php文件Apache会当作代码来执行,对于 html,css,js文件,则会直接由HTTP Response交给客户端程序对于一些资源文件,比如txt,doc,rar等等,则也会以文件下载的方式传送的客户端。我们希望用户上传的东西仅仅当作资源和数据而不能当作代码
因此可以使用服务器程序的接口来进行限制
以Apache为例,我们可以利用 .htaccess 文件机制来对web server行为进行限制
在这里插一句,如果不是专门的文件下载目录,请务必关掉文件夹浏览的权限,以防止嗅探和可能的越权,也是使用.htaccess文件,在其中加上一句
Options All -Indexes
即可。
禁止脚本执行有多种方式可以实现,而且分别有不同的效果,我们分别来看一下
1.指定特定扩展名的文件的处理方式,原理是指定Response的Content-Type可以加上如下几行
AddType text/plain .pl .py .php
这种情况下,以上几种脚本文件会被当作纯文本来显示出来,你也可以换成其他的Content-Type
2.如果要完全禁止特定扩展名的文件被访问,用下面的几行
Options -ExecCGI
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi识别
在这种情况下,以上几种类型的文件被访问的时候,会返回403 Forbidden的错误
3.也可以强制web服务器对于特定文件类型的处理,与第一条不同的是, 下面的方法直接强行让apache将文件识别为你指定的类型,而第一种是让浏览器
ForceType text/plain
看代码就可以很明白的知道,符合上面正则的全部被认为是纯文本,也可以继续往里面加入其他类型。
4.只允许访问特定类型的文件
order deny,allow
deny from all
在一个上传图片的文件夹下面,就可以加上这段代码,使得该文件夹里面只有图片扩展名的文件才可以被访问,其他类型都是拒绝访问。
这又是一个白名单的处理方案
永远记得,白名单是最有保障的安全措施
可以通过 move_uploaded_file 函数把自己写的.htaccess 文件上传,覆盖掉服务器上的文件,来定义文件类型和执行权限如果做到了这一点,将获得相当大的权限。