“请验证你的身份。”两名懒散的工作人员打了几个哈欠,其中一名指向验证设备的端口。
“稍微等一下,我想借个有线端口充下电,我的智能服自动无线充电功能好像出了点问题,现在快没电了。等会儿工作完我还要依靠它去约会,你知道空间传送消耗的电量实在太大,我怕我回不去。”
李长明找个了借口试图接入他们的内部端口。
“真麻烦。”工作人员不耐烦地抛出一句。他一只手在左侧柜台上划了一下,通过电感的方式打开了需要验证管理权限的一个电源端口。
“谢谢。”李长明掏出一根连接线,这条线内部加装了一个无线加密破解器,但看上去依旧和普通连接线没有任何区别。端口上显示着5500Es的标志,这是这个世界的充电速率标识,它表示一秒钟内能充入5500个质量为1的恒星(1的恒星相当于0.667个太阳质量)在相同时间内释放出的总的电磁量E。而通常的智能服最大储存电量约为E。因此李长明即便充满电也只有3分多钟的时间可以等待龙姐那边破解,但是很有可能冲到不到一半电量工作人员就会打发他去工作。所以实际上破解的紧迫程度尤甚。
另一边,在接入端口的第一时间,早已准备就绪的龙姐他们派出的技术人员已经着手入侵到药剂公司的管理系统内部。小鹿作为带头人出现在了破解的工作组里。因为之前觉得自己多有失礼之处,小鹿现在是暗暗下定决心一定要以最快的速度破解他们系统的验证程序。在经过许多的模拟训练后,她计划是在一分钟之内解决。
一般来说,这个世界普通民用公司使用的编程语言大多数为“元”和“唐”语言。唐语言自带许多工具,编写起来十分便利和轻松,但底层架构比较死板,灵活性不强,适合普通的的功能性程序和系统,比如药剂公司这类只需要进行验证和管理功能的、相对简单的架构,由于逻辑被简化,它的缺点是更容易出现漏洞。而元语言复杂很多,适合保密性高或者功能架构复杂的程序和系统,由于逻辑设计要求异常繁琐且严格,因此也更难找到可能存在的漏洞。
按道理来说,大部分这类公司都应该是使用更简单的唐语言来编辑才合理的,因此小鹿他们的团队也是做了这样的预判。但直到李长明接入那一刻,小鹿才发现他们的预判错了——这个药剂公司居然使用了异常繁琐的元语言来设计他们的管理系统。这意味着破解小组遇到了极大的困难。
很快1分钟就过去了,小鹿他们却离破解还有遥可不及的距离。小鹿开始急了。因为这时候监听器里已经传来了管理人员催促李长明去工作的声音。
“电量也有40%多了,差不多就可以了吧?电费可不便宜啊,你不会想白蹭电费吧?”
李长明自然也不知道小鹿那边遇到了困难,之前小鹿答应过他会尽量在一分钟左右完成破解的工作,因此他干等这一分钟里,也没采取什么其他的行动,就是静静地等着。他看刚好过了一分钟左右,想也该差不多了,于是李长明呵呵笑道:
“晚上我还得去多个地方,再让我多冲一会?”
“哎,反正公司的电,随你”……
小鹿听到这里才松了一口气。但是她也知道即便给足他们三分二十秒的时间,面对元语言编写的又长又臭,格式还非常繁琐复杂的代码,他们也不一定能够及时找到其中的漏洞,更别说利用这些漏洞瞒天过海实现篡改验证功能的事情了。
如果再这样按通常的方法破解下去,那可以说几乎是毫无破解的希望!万一他们的破解失败,将会直接导致李长明在不知情的情况下暴露他的身份。要是管理人员立即揭穿他的假身份还好,这样李长明估计在报警后安保人员赶来前就早已逃之夭夭了。就怕管理人员识破后按兵不动,暗中报警,将李长明困住。
而且另外一点很关键的是,经历过这一次事件,药剂公司肯定会加强各方面的管理,到时候想再找机会混进去就更难了。而这药剂是她们现在急需的一种药物,她不能眼睁睁地因为自己的问题而导致整个组织以后陷入更加困难的境地。
小鹿当即决定放弃常规的破解方式,转而使用冒险的博弈策略。一般来说,他们利用自动工具进行破解时,自动工具会依据漏洞类型的出现概率进行权重的排序,出现概率高的会首先进行检测,比如缓冲区溢出等常见问题。由此,自动软件会首先逐一检测以下常见的漏洞类型:
1.错误的输入验证
2.不正确的编码或转义输出
3.维持SQL查询结构(SQL注入)错误
4.维持网页结构(跨站点脚本)错误
5.维持操作系统命令结果(操作系统命令注入)错误
6.明文传送敏感信息
7.跨站点请求伪造
8.资源竞争(Racecondition)
9.?错误信息泄露
10.限定缓冲区内操作失败
11.外部控制重要状态数据
12.外部控制文件名或路径
13.不可信搜索路径
14.控制代码生成错误(代码注入)
15.下载未经完整性检查的代码
16.错误的资源关闭或发布
17.不正确的初始化
18.错误计算
19.可渗透防护
20.使用被破解的加密算法
21.硬编码密码
22.对核心资源的错误权限分配
23.随机值的错误利用
24.滥用特权操作
25.?客户端执行服务器端安全。
如此一来,由于元语言具有极强的逻辑要求,在这些常见地方上出错的几率会显着降低,而且基于大家都有防范漏洞的觉悟,在这些重点灾区检查的力度也会加强,修复漏洞的频率势必增加。如果运气不好,光是检测这些项目的时间就会远远不够,要想从中找到漏洞也是一时半会突破不了的。
为此,小鹿打算直接放弃这些显而易见的地方,转而把这些地方全部过滤掉,专门寻找那些被忽略的地方!