来源:蜘蛛抓取(WebSpider)
时间:2017-09-24 16:11
标签:
苹果频繁弹出输入密码
&figure&&img src=&https://pic3.zhimg.com/v2-c2df1d990cd9ad6b4782bca_b.jpg& data-rawwidth=&936& data-rawheight=&800& class=&origin_image zh-lightbox-thumb& width=&936& data-original=&https://pic3.zhimg.com/v2-c2df1d990cd9ad6b4782bca_r.jpg&&&/figure&&p&&b&1、意外发现&/b& &/p&&p&前阵子有朋友在追美剧《权7》,所以偶尔会拖我找资源:&你有权7的资源没有?& &帮忙找下熟肉?&
虽然我一直吐槽&自己不会去开个会员或者百度/谷歌找?&
不过又想了想,对于非技术圈的朋友,很多人总是这样来思考:&b&网上资源再丰富,百度谷歌再牛,也没有比自己身边&修电脑&的朋友强吧。&/b&&/p&&p&&br&&/p&&p&好吧,看在一顿小龙虾的面子上,我就根据资源的名称,各种关键字搜刮一遍,然后给他发了&b&&熟肉&&/b&(高清无码有字幕),顺便把网址和链接都发给他,说明后面有更新的话可以自己寻找。过了一周,这位朋友又不好意思的说,&那个网站的资源好像停更了?要不再帮忙找找?&。&/p&&p&&br&&/p&&p&又为了两顿小龙虾的情面,我又重复之前的动作,不过这次,收获的不仅仅是小龙虾,而是意外的发现。之前搜索的时候,浏览器挂了adblock之类的插件,所以比较少看到到网页广告,那天刚好做了次升级,所以用了备用浏览器。&/p&&p&&br&&/p&&p&用同样的关键词,到各种资源站逛了一圈,由于在搜索资源的时候有些网站出的不是熟肉版,遂关闭网站再到其他资源站,这样便来来回回跳了好几个资源网站。然后就一直被下面这些弹框页面时不时辣眼睛...基本是这种格式的(防河蟹,已打码...):&/p&&p&&br&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-9dbcedb41224b31_b.jpg& data-rawwidth=&936& data-rawheight=&800& class=&origin_image zh-lightbox-thumb& width=&936& data-original=&https://pic2.zhimg.com/v2-9dbcedb41224b31_r.jpg&&&/figure&&p&&br&&/p&&p&明明访问的这些网站的域名都不同,但是弹框的内容却几乎都一样的,这种情况基本两种可能:&br&&/p&&p&&b&第一、这些电影资源网站被挂马挂链了,被动弹框的;&/b&&/p&&p&&b&第二、这些电影资源网站存在的意义就是主动为其他&主播&、&直播&、&泛色情&、&色情&网站做导流的。&/b&&/p&&p&&br&&/p&&p&凭借*****的经验,隐约感觉不太对路,决定看看情况。 &/p&&p&&br&&/p&&hr&&p&&br&&/p&&p&&b&2、初探究竟&/b&&/p&&p&&b&①网站内容&/b& &/p&&p&为了一探究竟,便依次点击不同网站上面这些弹框图片,之后便跳转到对应的网站,此时发现这事儿越发有点蹊跷,这些网站除了域名,整个布局几乎是一样,而且,已经不是&泛色情&之类的美图网站了,就是色情网站!(打码打到手痛...)&/p&&figure&&img src=&https://pic3.zhimg.com/v2-d3bab3cda44efbb3e0b069b6_b.jpg& data-rawwidth=&1658& data-rawheight=&848& class=&origin_image zh-lightbox-thumb& width=&1658& data-original=&https://pic3.zhimg.com/v2-d3bab3cda44efbb3e0b069b6_r.jpg&&&/figure&&p&&br&&/p&&p&&b&②诱导支付&/b&&/p&&p&大概分析了网址结构和内容布局,基本遵循一个规矩:&b&图片免费观看,视频只能试看,观看全部需要付费购买&/b&。例如,这里点击任意一个视频,然后到了这样的页面介绍=&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-bfb0b1dc0b960dc9bfbb49_b.jpg& data-rawwidth=&1542& data-rawheight=&672& class=&origin_image zh-lightbox-thumb& width=&1542& data-original=&https://pic2.zhimg.com/v2-bfb0b1dc0b960dc9bfbb49_r.jpg&&&/figure&&p&&br&&/p&&p&&b&点击立即播放看看?&/b& &/p&&figure&&img src=&https://pic2.zhimg.com/v2-24ddd03d3dec22e2762395_b.jpg& data-rawwidth=&1510& data-rawheight=&818& class=&origin_image zh-lightbox-thumb& width=&1510& data-original=&https://pic2.zhimg.com/v2-24ddd03d3dec22e2762395_r.jpg&&&/figure&&p&&br&&/p&&p&&b&一直处于加载中&/b&,不太对路啊,我这独享100M速度,而且也没做页面拦截,估计这个视频坏了;&b&再换一个看看?&/b&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-f5a39add1c_b.jpg& data-rawwidth=&1540& data-rawheight=&610& class=&origin_image zh-lightbox-thumb& width=&1540& data-original=&https://pic2.zhimg.com/v2-f5a39add1c_r.jpg&&&/figure&&p&&br&&/p&&p&&b&再次点击立即播放看看?&/b&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-8ecca64469_b.jpg& data-rawwidth=&1488& data-rawheight=&818& class=&origin_image zh-lightbox-thumb& width=&1488& data-original=&https://pic2.zhimg.com/v2-8ecca64469_r.jpg&&&/figure&&p&&br&&/p&&p&还是一直处于&b&[数据加载中]&/b&,在没有看到任何预览的情况下,这个时候网站&b&又开始弹出支付页面&/b& (看来是想告诉大家:赶紧花个十几二十块,就可以不用再等马上看了,支付引导语也说明了&&b&尽享奇妙之旅!&/b&&)&b&=&&/b&&/p&&figure&&img src=&https://pic1.zhimg.com/v2-1bdd920ced40b13dbb4a8_b.jpg& data-rawwidth=&1440& data-rawheight=&840& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&https://pic1.zhimg.com/v2-1bdd920ced40b13dbb4a8_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-e49e6c9b75d_b.jpg& data-rawwidth=&1440& data-rawheight=&832& class=&origin_image zh-lightbox-thumb& width=&1440& data-original=&https://pic2.zhimg.com/v2-e49e6c9b75d_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-dfedf7deae81a7_b.jpg& data-rawwidth=&1436& data-rawheight=&780& class=&origin_image zh-lightbox-thumb& width=&1436& data-original=&https://pic4.zhimg.com/v2-dfedf7deae81a7_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic1.zhimg.com/v2-e17d9e247ed7ecd17c9fb1aad8559640_b.jpg& data-rawwidth=&1478& data-rawheight=&796& class=&origin_image zh-lightbox-thumb& width=&1478& data-original=&https://pic1.zhimg.com/v2-e17d9e247ed7ecd17c9fb1aad8559640_r.jpg&&&/figure&&p&&br&&/p&&p&后面基本都是抠脚大叔在运营的=&&/p&&p&&br&&/p&&p&&br&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-47ccb6f325_b.jpg& data-rawwidth=&960& data-rawheight=&926& class=&origin_image zh-lightbox-thumb& width=&960& data-original=&https://pic2.zhimg.com/v2-47ccb6f325_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-0d53a1d768ce_b.jpg& data-rawwidth=&834& data-rawheight=&972& class=&origin_image zh-lightbox-thumb& width=&834& data-original=&https://pic3.zhimg.com/v2-0d53a1d768ce_r.jpg&&&/figure&&p&&br&&/p&&p&哟,现在的色情网站,用户体验做的这么好?&b&还搭上了移动支付的列车,都能微信和支付宝支付了&/b&。从产品的角度上看,这个诱导支付做的还可以,无论是点击视频弹框,还是点击网站右上角[开通VIP]这个按钮,每次都能弹出不同的诱惑图片,并且价格非常&b&&亲民&&/b&,大体都是十几二十块这样子。&/p&&p&&br&&/p&&p&不过经过多个页面的分析,&b&我猜测这些网站:可能仅仅是一个壳,里面根本没有视频服务之类的,最终目的就是诱导用户采用微信或支付宝小额支付,然后消费者吃哑巴亏。(说白了,就是基于色情诱导的小额度金融诈骗&/b&)&/p&&p&&br&&/p&&p&好吧,只是猜测,具体是不是这样子,还需要后面一步一步验证。&/p&&p&(下面的内容相对比较技术,大家如果没兴趣,可以拖到文末看这次调查结论)&/p&&p&&br&&/p&&hr&&p&&br&&/p&&p&&b&3、信息收集&/b& &/p&&p&直觉告诉我,这些网站应该用的是同一类CMS(内容管理系统),更直接一点,就是&b&&色情CMS&&/b&,而且背后可能是&b&某些做色情灰产的团队在运营&/b&。既然都是套的CMS做的网站,那么就有同样的banner、网站标识、开发者信息之类,即&b&&网站指纹&&/b&。 &/p&&p&&br&&/p&&p&&b&①查看网站源代码,找出&网站指纹&&/b&,类似这样=&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-f7c4ceb8e40e499adebf_b.jpg& data-rawwidth=&1912& data-rawheight=&1070& class=&origin_image zh-lightbox-thumb& width=&1912& data-original=&https://pic4.zhimg.com/v2-f7c4ceb8e40e499adebf_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-5b3cb8e804b47fcdd8223a_b.jpg& data-rawwidth=&1632& data-rawheight=&1024& class=&origin_image zh-lightbox-thumb& width=&1632& data-original=&https://pic3.zhimg.com/v2-5b3cb8e804b47fcdd8223a_r.jpg&&&/figure&&p&&br&&/p&&p&观察这几个网站,每个网站在前端代码里面的head和footer标签里,都有对应的指纹信息。&/p&&p&&br&&/p&&p&&b&②通过Google或Bing,根据网站指纹和关键词语法(例如intext或intitle)进行搜索 =&&/b&(注意:搜索这类网站,建议关闭安全搜索功能,否则搜到的内容很少)&/p&&figure&&img src=&https://pic2.zhimg.com/v2-e85197fdcadbb_b.jpg& data-rawwidth=&1172& data-rawheight=&934& class=&origin_image zh-lightbox-thumb& width=&1172& data-original=&https://pic2.zhimg.com/v2-e85197fdcadbb_r.jpg&&&/figure&&p&&br&&/p&&p&根据几个搜索引擎得到的情况,这么多相同的网站和页面,应该是做这个行业的团队,都购买了相同的或者类似的CMS,然后自行搭建推广,通过搜索引擎SEO或者各种资源网站挂马推广等,并诱导通过微信或支付宝付费。&br&&/p&&p&&b&看来这已经不仅仅是几个色情网站这么简单的事情了,应该涉及到色情诱导诈骗这个产业的规模化运作。&/b&&/p&&p&&br&&/p&&p&③接下来,我们还需要进一步的做信息收集,例如这些网站的服务器架设在哪个地区?到底在国内还是在国外运营的? 联系信息是什么?看看是否有关联性,是分散运营还是某个大团队在运营?
我们对这些色情网站服务器进行信息探测,这里借助&b&shodan(撒旦,传说中的&黑暗搜索引擎&)&/b&来进行分析:&/p&&p&&br&&/p&&p&&b&网站1:&a href=&http://link.zhihu.com/?target=http%3A//xxxxnii.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&xxxxnii.com/&/span&&span class=&invisible&&&/span&&/a&&/b&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-96b8e6d63d7339ace6d03_b.jpg& data-rawwidth=&1086& data-rawheight=&710& class=&origin_image zh-lightbox-thumb& width=&1086& data-original=&https://pic4.zhimg.com/v2-96b8e6d63d7339ace6d03_r.jpg&&&/figure&&p&&br&&/p&&p&开放端口:21、80 &/p&&p&服务器地区:山东青岛&/p&&p&托管服务商:上海安XX网络&/p&&p&Whois域名信息:&/p&&p&&br&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-5b26f5420ecfa30cd0c6f_b.jpg& data-rawwidth=&1182& data-rawheight=&682& class=&origin_image zh-lightbox-thumb& width=&1182& data-original=&https://pic4.zhimg.com/v2-5b26f5420ecfa30cd0c6f_r.jpg&&&/figure&&p&&br&&/p&&p&备案信息:未备案&/p&&p&whois信息:开启了安全防护,只能看到域名服务商的信息,没有网站运营者个人信息&/p&&p&&br&&/p&&p&&b&网站2:&a href=&http://link.zhihu.com/?target=http%3A//www.91xxxx.cn/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&91xxxx.cn/&/span&&span class=&invisible&&&/span&&/a&&/b&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-e6dbfbfefcff8d993dd01_b.jpg& data-rawwidth=&1284& data-rawheight=&678& class=&origin_image zh-lightbox-thumb& width=&1284& data-original=&https://pic2.zhimg.com/v2-e6dbfbfefcff8d993dd01_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-cca50e8526bdabddeb0a782_b.jpg& data-rawwidth=&1062& data-rawheight=&632& class=&origin_image zh-lightbox-thumb& width=&1062& data-original=&https://pic3.zhimg.com/v2-cca50e8526bdabddeb0a782_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic1.zhimg.com/v2-81f87cb96d939e4f187fd5a99dc04330_b.jpg& data-rawwidth=&1036& data-rawheight=&1034& class=&origin_image zh-lightbox-thumb& width=&1036& data-original=&https://pic1.zhimg.com/v2-81f87cb96d939e4f187fd5a99dc04330_r.jpg&&&/figure&&p&&br&&/p&&p&IP地址:103.229.X.X&/p&&p&开放端口:80&/p&&p&服务器地区:香港&/p&&p&托管服务商:Sun network LTD,新网络(香港)有限公司&/p&&p&备案信息:未备案&/p&&p&域名注册人:王xx&/p&&p&注册人联系信息:&/p&&p&域名服务商:北京蓝xxx科技有限公司&/p&&p&&br&&/p&&p&&br&&/p&&p&&b&网站3:&a href=&http://link.zhihu.com/?target=http%3A//www.ccxxxx.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&ccxxxx.com/&/span&&span class=&invisible&&&/span&&/a&&/b&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-e6bb1e406be6f086bad095be3b12ab32_b.jpg& data-rawwidth=&1654& data-rawheight=&812& class=&origin_image zh-lightbox-thumb& width=&1654& data-original=&https://pic3.zhimg.com/v2-e6bb1e406be6f086bad095be3b12ab32_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic1.zhimg.com/v2-aba097f72a4_b.jpg& data-rawwidth=&1088& data-rawheight=&622& class=&origin_image zh-lightbox-thumb& width=&1088& data-original=&https://pic1.zhimg.com/v2-aba097f72a4_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-e0e31f98c786ce97154b2a_b.jpg& data-rawwidth=&1088& data-rawheight=&1118& class=&origin_image zh-lightbox-thumb& width=&1088& data-original=&https://pic3.zhimg.com/v2-e0e31f98c786ce97154b2a_r.jpg&&&/figure&&p&&br&&/p&&p&IP地址:107.154.X.X&/p&&p&开放端口:80、81、88、443……&br&服务器地区:海外(美国)&/p&&p&托管服务商:Incapsula&/p&&p&Whois域名信息:&/p&&p&备案信息:未备案&/p&&p&域名服务商:godaddy(开启了域名保护,没有注册信息)&/p&&p&&br&&/p&&p&&br&&/p&&p&&b&网站4:&a href=&http://link.zhihu.com/?target=http%3A//weixxx.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&weixxx.com&/span&&span class=&invisible&&&/span&&/a&&/b& &/p&&figure&&img src=&https://pic2.zhimg.com/v2-f710f82ea5aed0eb5e2c899a087bad5d_b.jpg& data-rawwidth=&1198& data-rawheight=&614& class=&origin_image zh-lightbox-thumb& width=&1198& data-original=&https://pic2.zhimg.com/v2-f710f82ea5aed0eb5e2c899a087bad5d_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-4b6d6b58efa214cd78bdeea927bc3e2b_b.jpg& data-rawwidth=&1074& data-rawheight=&634& class=&origin_image zh-lightbox-thumb& width=&1074& data-original=&https://pic4.zhimg.com/v2-4b6d6b58efa214cd78bdeea927bc3e2b_r.jpg&&&/figure&&p&&br&&/p&&p&IP地址:107.151.X.X&/p&&p&开放端口:80、21、88、443……&/p&&p&服务器地区:海外(美国)&/p&&p&托管服务商:VpsQuan&/p&&p&Whois域名信息:开启了域名保护,无注册人信息&br&&/p&&p&&br&&/p&&p&&b&网站5:&a href=&http://link.zhihu.com/?target=http%3A//txxxx.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&txxxx.com/&/span&&span class=&invisible&&&/span&&/a&&/b&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-c79db4564acfc3c9ab4e767f80c73f73_b.jpg& data-rawwidth=&1370& data-rawheight=&442& class=&origin_image zh-lightbox-thumb& width=&1370& data-original=&https://pic4.zhimg.com/v2-c79db4564acfc3c9ab4e767f80c73f73_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-1c9bf17868ebd2011cacbf17ca69e1e9_b.jpg& data-rawwidth=&1098& data-rawheight=&908& class=&origin_image zh-lightbox-thumb& width=&1098& data-original=&https://pic2.zhimg.com/v2-1c9bf17868ebd2011cacbf17ca69e1e9_r.jpg&&&/figure&&p&&br&&/p&&p&IP地址:103.234.X.X&/p&&p&开放端口:80、21、443、12345……&/p&&p&服务器地区:香港&/p&&p&Whois域名信息:开启了域名保护,无注册人信息&br&&/p&&p&&br&&/p&&p&&b&网站6:&a href=&http://link.zhihu.com/?target=http%3A//mlxxx.com/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&mlxxx.com/&/span&&span class=&invisible&&&/span&&/a&&/b&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-75dc959737dca78929af6_b.jpg& data-rawwidth=&1358& data-rawheight=&722& class=&origin_image zh-lightbox-thumb& width=&1358& data-original=&https://pic3.zhimg.com/v2-75dc959737dca78929af6_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic4.zhimg.com/v2-0b7a44c93f638b681827_b.jpg& data-rawwidth=&986& data-rawheight=&1074& class=&origin_image zh-lightbox-thumb& width=&986& data-original=&https://pic4.zhimg.com/v2-0b7a44c93f638b681827_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-aa39c24002_b.jpg& data-rawwidth=&1090& data-rawheight=&1148& class=&origin_image zh-lightbox-thumb& width=&1090& data-original=&https://pic3.zhimg.com/v2-aa39c24002_r.jpg&&&/figure&&p&&br&&/p&&p&IP地址:23.23.X.X&/p&&p&开放端口:80、21、5985&/p&&p&服务器地区:海外(美国)&/p&&p&备案信息:未备案&/p&&p&注册人地区:福建&/p&&p&域名服务商:godaddy&/p&&p&域名注册人: LIxx&/p&&p&注册人联系信息:&/p&&p&……&/p&&p&&br&&/p&&p&经过20多个网站的分析,发现无论是服务器地区、服务器托管商、域名注册商、注册人信息等等,都非常分散。但是仍然可以得到一些信息:&/p&&p&&br&&/p&&p&&b&a. 这些网站80%托管在香港和海外(美国);&/b&&/p&&p&&b&b. 清一色没有做正规备案;&/b&&/p&&p&&b&c. 大部分都没有留下注册人信息,部分会留下QQ邮箱。&/b& &/p&&p&&br&&/p&&p&&b&小结:&/b&经过上面四个步骤的信息收集,我们可以得到这个基本的情况:这些色情网站是由很多小团队分散运营,通过购买类似的&色情CMS&进行搭建并运营;另外,为了避开国内的监管,大部分选择将服务器托管到香港和美国为主的服务商,并且很少留下注册的联系信息。(后续可以通过微信和支付宝、网站数据库等可以做进一步追踪)&/p&&p&&br&&/p&&hr&&p&&br&&/p&&p&&b&4、漏洞挖掘&/b& &/p&&p&如果按照正常的灰产打击流程,最直接的方法就是采用&b&“钓鱼执法”&/b&,例如直接微信或者支付宝支付,然后看看能否加到好友,继而直接揪出幕后运营者(如果对方用的小号,并且腾讯和阿里不介入,此方法估计走不通)。&/p&&p&&br&&/p&&p&所以,在这之前,我们先看看能否在技术上进行突破。例如,&b&能否通过拿到后台数据库,找到后台管理页面,直接接管网站,或者通过数据库找到更加详细的管理员账号信息等等,甚至通过服务器提权拿到整个服务器权限;而实现这些的前提是:能否找到这套&色情CMS&的漏洞?&/b& &/p&&p&&br&&/p&&p&考虑到这类Web软件偏&地下流传&,不像知名的discuz论坛,有很多公开漏洞和渗透工具可以直接利用。所以,先用Web漏扫看看有没有能否找到常规漏洞。先对托管在国外的几个色情网站动手,发现都是PHP+MySQL架构,很多在Windows+IIS上面跑,而且幸运的是,大体都能爆出SQL注入和XSS跨站脚本漏洞,当然,这些漏洞能不能用,还得进一步验证。&/p&&p&(注明:上面提到的漏扫,Burp/AWVS/Appscan随意,更具体的使用这里省去)&/p&&p&&br&&/p&&hr&&p&&br&&/p&&p&&b&5、SQL注入渗透&/b&&/p&&p&接下来,先手工找几个注入点看看,点击网站的分类列表,可以得到类似&php?id=x&的链接=&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-256fb078fb6c2f46c222a_b.jpg& data-rawwidth=&1262& data-rawheight=&392& class=&origin_image zh-lightbox-thumb& width=&1262& data-original=&https://pic3.zhimg.com/v2-256fb078fb6c2f46c222a_r.jpg&&&/figure&&p&&br&&/p&&p&这里收集了不同网站的一批注入点,然后我们拿神器SQLmap出来溜一圈。不同网站防护情况不同(例如安装了waf),注入的效果是不同的,不能一条指令走到黑,需要调整注入的参数,例如是否加长时间延迟、是否采用随机头部、是否加大注入级别。按照这个思路,大概需要用到这些指令:&/p&&p&&br&&/p&&p&&b&① SQL注入得到数据库和管理员信息&/b&&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&root@kali:~# sqlmap.py -u http://txxxcom/list.php?id=1 --dbs --users
root@kali:~# sqlmap.py -u http://txxxcom/list.php?id=1 --dbs --users --dbms mysql
root@kali:~# sqlmap.py -u http://txxxcom/list.php?id=1 --dbs --users --time-sec 2 --dbms mysql --level=2 --risk=2 --random-agent
&/code&&/pre&&/div&&p&&br&&/p&&p&&b&②根据注入得到的数据库,获取数据库里面的数据表&/b&&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&sqlmap.py -u http://txxxcom/list.php?id=1 --tables -D &aaaaaa&
sqlmap.py -u http://txxxcom/list.php?id=1 --tables -D &aaaaaa&
--random-agent
&/code&&/pre&&/div&&p&&br&&/p&&p&&b&③获取管理员数据表或者暴力脱裤&/b&&/p&&div class=&highlight&&&pre&&code class=&language-text&&&span&&/span&sqlmap.py -u http://txxxcom/list.php?id=1 --dump -T &xxadminxx& -D &aaaaaa&
sqlmap.py -u http://txxxcom/list.php?id=1 --dbms mysql --dump-all
-D &aaaaaa&
&/code&&/pre&&/div&&p&&br&&/p&&p&(注入失败)&/p&&figure&&img src=&https://pic1.zhimg.com/v2-89ab96286c8ccc6b27dd44_b.jpg& data-rawwidth=&1570& data-rawheight=&534& class=&origin_image zh-lightbox-thumb& width=&1570& data-original=&https://pic1.zhimg.com/v2-89ab96286c8ccc6b27dd44_r.jpg&&&/figure&&p&&br&&/p&&p&&br&&/p&&p&(注入成功,正在下载数据库和获取管理员账号密码)&/p&&figure&&img src=&https://pic2.zhimg.com/v2-b5a2706d46cdbdc9a4610bbd228f391d_b.jpg& data-rawwidth=&1538& data-rawheight=&794& class=&origin_image zh-lightbox-thumb& width=&1538& data-original=&https://pic2.zhimg.com/v2-b5a2706d46cdbdc9a4610bbd228f391d_r.jpg&&&/figure&&p&&br&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-9c1de9c1ceb78bddc976d538da195472_b.jpg& data-rawwidth=&1554& data-rawheight=&662& class=&origin_image zh-lightbox-thumb& width=&1554& data-original=&https://pic3.zhimg.com/v2-9c1de9c1ceb78bddc976d538da195472_r.jpg&&&/figure&&p&&br&&/p&&p&(注入成功,进行管理员密码破解,这里哈希值没跑出来,需要借助在线MD5工具破解) &/p&&figure&&img src=&https://pic4.zhimg.com/v2-9d6c61e3cb9c9dc695387_b.jpg& data-rawwidth=&1544& data-rawheight=&618& class=&origin_image zh-lightbox-thumb& width=&1544& data-original=&https://pic4.zhimg.com/v2-9d6c61e3cb9c9dc695387_r.jpg&&&/figure&&p&&br&&/p&&p&&br&&/p&&p&成功的并且dump数据库下来的部分网站截图:&/p&&figure&&img src=&https://pic2.zhimg.com/v2-df9ebbdcc19_b.jpg& data-rawwidth=&862& data-rawheight=&568& class=&origin_image zh-lightbox-thumb& width=&862& data-original=&https://pic2.zhimg.com/v2-df9ebbdcc19_r.jpg&&&/figure&&p&&br&&/p&&hr&&p&&br&&/p&&p&&b&6、密码爆破与后台登录管理&/b&&/p&&p&①通过以上SQL注入,拿到了这些网站的管理员用户名及密码哈希值(MD5值),需要对MD5做暴力破解,破解成功率还不确定,如果哈希值是&加盐&的,那么成功率将大大减低,所以也只能碰碰运气吧。&/p&&p&&br&&/p&&p&这里直接找几个在线的md5网站,跑一圈看看:&/p&&figure&&img src=&https://pic2.zhimg.com/v2-e082c4d33ff0dcf3ef90941_b.jpg& data-rawwidth=&1586& data-rawheight=&1002& class=&origin_image zh-lightbox-thumb& width=&1586& data-original=&https://pic2.zhimg.com/v2-e082c4d33ff0dcf3ef90941_r.jpg&&&/figure&&p&&br&&/p&&p&上面这个是6位数字的,直接秒破。再试试下面一个=&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-e16fdb23db12af4dc275e_b.jpg& data-rawwidth=&1494& data-rawheight=&954& class=&origin_image zh-lightbox-thumb& width=&1494& data-original=&https://pic3.zhimg.com/v2-e16fdb23db12af4dc275e_r.jpg&&&/figure&&p&&br&&/p&&p&这个没法破解出来,估计密码长度比较长,再继续尝试其他的=&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-4bbb9f58ef0df89bfccb65_b.jpg& data-rawwidth=&1484& data-rawheight=&900& class=&origin_image zh-lightbox-thumb& width=&1484& data-original=&https://pic2.zhimg.com/v2-4bbb9f58ef0df89bfccb65_r.jpg&&&/figure&&p&&br&&/p&&p&8位数字密码的,同样秒破。另外,不同在线MD5网站的哈希存储量和计算速度不同,有些后台还包括了泄露了的社工库信息,所以可以多个网站尝试。&/p&&p&&br&&/p&&p&②拿到大部分网站对应的管理员账号密码之后,接下来就可以进入后台管理一探究竟,但是怎么进入呢?网站前端页面可没有&管理& &后台&等字样给我们点击进入。&/p&&p&&br&&/p&&p&这些网站有些默认用 &a href=&http://link.zhihu.com/?target=http%3A//xxx.com/admin& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&xxx.com/admin&/span&&span class=&invisible&&&/span&&/a&的管理就可以进入后台,有些修改了后台地址,需要用后台扫描器(havij、御剑、burp)进行探测。&/p&&p&&br&&/p&&p&直接采用admin作为后台管理页面的:&/p&&figure&&img src=&https://pic2.zhimg.com/v2-99c25b969d472b9afd4bd_b.jpg& data-rawwidth=&1202& data-rawheight=&906& class=&origin_image zh-lightbox-thumb& width=&1202& data-original=&https://pic2.zhimg.com/v2-99c25b969d472b9afd4bd_r.jpg&&&/figure&&p&&br&&/p&&p&后台路径做了一些变动的:&/p&&figure&&img src=&https://pic4.zhimg.com/v2-bb50c2c9e3a6d3ef25ddf_b.jpg& data-rawwidth=&1162& data-rawheight=&874& class=&origin_image zh-lightbox-thumb& width=&1162& data-original=&https://pic4.zhimg.com/v2-bb50c2c9e3a6d3ef25ddf_r.jpg&&&/figure&&p&&br&&/p&&p&&br&&/p&&p&虽然网站域名不同,甚至运营者都不同,但是后台管理页面是一模一样的,这里将上面拿到的账号密码登录进来=&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-9aab2485ffd8eea4893a_b.jpg& data-rawwidth=&1224& data-rawheight=&842& class=&origin_image zh-lightbox-thumb& width=&1224& data-original=&https://pic3.zhimg.com/v2-9aab2485ffd8eea4893a_r.jpg&&&/figure&&p&&br&&/p&&p&③接下来便进入了后台,&b&然后就有点震惊了:这已经明目张胆写明是&诱导支付,诱惑支付&!也就是说,有专业的团队专门制作这类色情诱导网站,这仅仅是我无意发现的一个&色情CMS&,肯定还有很多很多...... &/b&&/p&&figure&&img src=&https://pic3.zhimg.com/v2-aee4d93f6ba974f957cd2_b.jpg& data-rawwidth=&1908& data-rawheight=&788& class=&origin_image zh-lightbox-thumb& width=&1908& data-original=&https://pic3.zhimg.com/v2-aee4d93f6ba974f957cd2_r.jpg&&&/figure&&p&&br&&/p&&p&我们来看看这个&诱导支付&系统到底是怎么操作的?&/p&&p&&br&&/p&&p&&b&a. 管理账号&/b&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-0c6aef4fb61f24faaff91a672b47a96d_b.jpg& data-rawwidth=&1594& data-rawheight=&618& class=&origin_image zh-lightbox-thumb& width=&1594& data-original=&https://pic2.zhimg.com/v2-0c6aef4fb61f24faaff91a672b47a96d_r.jpg&&&/figure&&p&&br&&/p&&p&&b&b. 资源添加:网站上的视频和图片就是在这里添加的&/b& &/p&&figure&&img src=&https://pic2.zhimg.com/v2-efd3f3dc25f5_b.jpg& data-rawwidth=&1688& data-rawheight=&836& class=&origin_image zh-lightbox-thumb& width=&1688& data-original=&https://pic2.zhimg.com/v2-efd3f3dc25f5_r.jpg&&&/figure&&p&&br&&/p&&p&&b&b. 资源添加:大部分的图片和视频链接都是外链,除了图片是有效的,有些视频根本是空的,有些则是无效链接的(假的)&/b&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-443be9aa0b5c50fcfd55_b.jpg& data-rawwidth=&1688& data-rawheight=&884& class=&origin_image zh-lightbox-thumb& width=&1688& data-original=&https://pic2.zhimg.com/v2-443be9aa0b5c50fcfd55_r.jpg&&&/figure&&p&&br&&/p&&p&&br&&/p&&p&&b&b. 资源添加:图库列表这里的图片全部采用外链,而不是本地存储&/b& &/p&&figure&&img src=&https://pic3.zhimg.com/v2-d5d734ac22ac376c4ab5d2ab8a8e747a_b.jpg& data-rawwidth=&1582& data-rawheight=&768& class=&origin_image zh-lightbox-thumb& width=&1582& data-original=&https://pic3.zhimg.com/v2-d5d734ac22ac376c4ab5d2ab8a8e747a_r.jpg&&&/figure&&p&&br&&/p&&p&&b&c. 分类设置:可以对网站首页的图片分类做简单的修改&/b& &/p&&figure&&img src=&https://pic4.zhimg.com/v2-8e5a3dc8eb70c11e4af3_b.jpg& data-rawwidth=&1678& data-rawheight=&748& class=&origin_image zh-lightbox-thumb& width=&1678& data-original=&https://pic4.zhimg.com/v2-8e5a3dc8eb70c11e4af3_r.jpg&&&/figure&&p&&br&&/p&&p&&br&&/p&&p&&b&d. 支付设置:这里才是重点!把二维码改成自己的,就可以坐等傻瓜打钱过来啊!&/b&(比挖比特币强太多..) &/p&&figure&&img src=&https://pic3.zhimg.com/v2-d30adb858f12a95e6b7c12_b.jpg& data-rawwidth=&1454& data-rawheight=&1056& class=&origin_image zh-lightbox-thumb& width=&1454& data-original=&https://pic3.zhimg.com/v2-d30adb858f12a95e6b7c12_r.jpg&&&/figure&&p&&br&&/p&&p&&b&小结:&/b&通过对后台系统的分析,基本坐实了我最开始的猜测:这些所谓的色情网站,本身就是一个&壳&,所有的图片都是外链,而几乎绝大部分的视频也是假的,即便有人真的通过微信或者支付宝支付了,跳转之后看到的,也永远只能是一个&资源加载中&的黑屏页面。(&b&这真的就是&钱也付了,裤子也脱了,你就给我看这个?!&......&/b&)&/p&&p&&br&&/p&&p&总之,&b&这类&诱惑支付&系统,披着色情的皮,搭上移动支付的车,欺骗广大&消费者&。而由于服务的&特殊性&,大部分服务器又架设在国外,交易金融又是小额,此类用户基本都是吃哑巴亏的,顶多就是丢下一句&艹&,然后学乖了一点点&/b&。 &/p&&p&&br&&/p&&p&tips:写文章的时候,突然好奇搜索了一下,然后就看到有人在一些问答页面上的提问=&&/p&&figure&&img src=&https://pic1.zhimg.com/v2-c92a9a83d7dccc4dd2465ffcd3ab3938_b.jpg& data-rawwidth=&1438& data-rawheight=&326& class=&origin_image zh-lightbox-thumb& width=&1438& data-original=&https://pic1.zhimg.com/v2-c92a9a83d7dccc4dd2465ffcd3ab3938_r.jpg&&&/figure&&p&&br&&/p&&p&要不要去告诉他真相呢?&/p&&p&&br&&/p&&p&接下来,拿到网站后台管理权限之后,之后还可以做什么呢?还可以考虑提权,拿下整台服务器,不过已经不是本文重点要谈论的了,这里给出大概的思路:可以爆出物理路径,考虑一句话图片木马(需要考虑命名过滤),然后尝试用菜刀或其他webshell工具管理=&&/p&&figure&&img src=&https://pic1.zhimg.com/v2-972da5d23e15def9c8dd3f4c52c91238_b.jpg& data-rawwidth=&1248& data-rawheight=&1122& class=&origin_image zh-lightbox-thumb& width=&1248& data-original=&https://pic1.zhimg.com/v2-972da5d23e15def9c8dd3f4c52c91238_r.jpg&&&/figure&&p&&br&&/p&&p&&br&&/p&&hr&&p&&br&&/p&&p&&b&7、文末&/b&&/p&&p&①根据上面的内容,我们可以把整个色情诱导的链条大概用下面的图片展现出来=&&/p&&figure&&img src=&https://pic2.zhimg.com/v2-283fd85fcf00cbcbba4fd_b.jpg& data-rawwidth=&1510& data-rawheight=&1102& class=&origin_image zh-lightbox-thumb& width=&1510& data-original=&https://pic2.zhimg.com/v2-283fd85fcf00cbcbba4fd_r.jpg&&&/figure&&p&&br&&/p&&p&②接下来要不要揪出这些色情诱导欺诈者呢?(记住,这个就是色情诈骗,可不是&1024&或&caoliu&)这个已经不是我力所能及的了,数量多到无法估量,到底揪出谁呢?&/p&&p&而且搞掉一个站肯定还有类似的一个站起来,这里需要云服务商(提供服务器托管的)、移动支付平台(微信支付、支付宝支付)、网警、社会各界一同介入处理的。&/p&&p&&br&&/p&&p&③一直有句话是说:&互联网一半以上流量和资金属于色情和'菠菜'的&,之前我还不太相信,现在有点信了。大量&地下的没有上台面的”网站非常多,而这些网站有多么的&黑&或者&阴暗&,超过我们的想象,也越过了我们的底线。&/p&&p&&br&&/p&&p&④这个色情诱导的欺诈案例,仅仅属于&灰产&的一种;随着云服务的高速发展,移动社交和支付的极度便利性,这类&灰产&服务已经慢慢渗透到我们的生活,你有没有遇到类似的或者其他案例?你是怎么解决的?&/p&&p&(另外,如果你心疼基友,转给他看,不要再让他受伤害了...)&/p&&p&&br&&/p&&hr&&p&&br&&/p&&p&&b&【说明】&/b&&/p&&p&这是[冇眼睇]系列的开篇,涉及渗透测试、Web安全、WiFi安全等课题,偶尔解密灰产还原事实,会跟[图解]系列偶尔做交叉更新。下一系列:探讨IP协议原理、数据包结构、地址结构、IP攻击与防御(分片攻击、欺骗攻击)……&/p&&p&&br&&/p&&p&-------------------&/p&&p&&a href=&https://zhuanlan.zhihu.com/p/& class=&internal&&图解ARP协议(三)ARP防御篇-如何揪出&内鬼&并&优雅的还手&?&/a&&/p&&p&知乎专栏:&a href=&https://zhuanlan.zhihu.com/jaykingchen& class=&internal&&跟杰哥学网络与安全&/a&&/p&&p&新浪微博:&a href=&http://link.zhihu.com/?target=http%3A//www.weibo.com/jaykingchen& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&@拼客学院陈鑫杰&/a&&/p&&p&微信公众号:拼客院长陈鑫杰(搜索&&b&pingsec&/b&&即可关注,大牛都在看)&/p&&p&拼客学院:&a href=&http://link.zhihu.com/?target=http%3A//www.pinginglab.net& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&pinginglab.net&/span&&span class=&invisible&&&/span&&/a&(专注网络|安全|运维的IT学院)&/p&
1、意外发现 前阵子有朋友在追美剧《权7》,所以偶尔会拖我找资源:"你有权7的资源没有?" "帮忙找下熟肉?" 虽然我一直吐槽"自己不会去开个会员或者百度/谷歌找?" 不过又想了想,对于非技术圈的朋友,很多人总是这样来思考:网上资源再丰富,百度谷歌再牛…
&figure&&img src=&https://pic4.zhimg.com/v2-2c6a2c2c3c72b0ae2e42e2_b.jpg& data-rawwidth=&1080& data-rawheight=&1080& class=&origin_image zh-lightbox-thumb& width=&1080& data-original=&https://pic4.zhimg.com/v2-2c6a2c2c3c72b0ae2e42e2_r.jpg&&&/figure&&p&恭喜伍前红老师开通了自己的微信公众号“舌尖上的密码学”!公众号上的第一篇文章《比特币外传》文采飞扬,用一个幽默的故事讲述了比特币历史。比特币的诞生与发展充满了曲折,随着5月13日勒索病毒“WannaCry”的爆发,有关比特币的讨论又一次激烈了起来。比特币到底是怎么回事?它是如何诞生并发展起来的?为何近期的勒索病毒均只允许比特币支付?伍教授的故事向大家呈现了一个很生动的答案。&br&&/p&&p&我在本专栏转发此篇文章,标明出处:&a href=&https://link.zhihu.com/?target=http%3A//mp.weixin.qq.com/s%3F__biz%3DMzU1MzA3MTAwMQ%3D%3D%26mid%3D%26idx%3D1%26sn%3D3bf91d53f08b66bf4d2781%26chksm%3Dfbf939facc8eb0ecc771c3bd7fbe4fc5f68f9dd1fc687c194a5e6f844b536f552%26mpshare%3D1%26scene%3D1%26srcid%3D05140HuhcALW2w0Nq6gUw6Ub%23rd& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&比特币外传&/a&。在转发之余,我尽我所能补充故事背后的事件,希望能让大家更好地了解比特币的历史,对比特币有一个更加形象的了解。&/p&&p&本转载已经经过伍前红教授的授权,进一步转载请注明出处和文章的原始出处。感兴趣的知友们可进一步关注伍前红教授的公众号:舌尖上的密码学。&/p&&blockquote&话说比特币,大家都叫他比娃,身世很可怜,娘亲是谁也不知道,比娃是08年底生的,生下来都没娘,也没奶水吃,他爹据说叫中本聪,村里人都瞧不上他,可能是个外来户,不会种地放羊养牛啥的,只会捣糨糊,就一天到晚磨米糊糊喂比娃。&/blockquote&&p&&figure&&img src=&https://pic1.zhimg.com/v2-237a6e4b2f_b.jpg& data-rawwidth=&1700& data-rawheight=&2200& class=&origin_image zh-lightbox-thumb& width=&1700& data-original=&https://pic1.zhimg.com/v2-237a6e4b2f_r.jpg&&&/figure&&b&2008年中本聪发表的论文&/b&(来源:&a href=&https://link.zhihu.com/?target=http%3A//www.lucilladearcangelis.it/pdfPaper/bitcoin.pdf& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://www.&/span&&span class=&visible&&lucilladearcangelis.it/&/span&&span class=&invisible&&pdfPaper/bitcoin.pdf&/span&&span class=&ellipsis&&&/span&&/a&)&/p&自互联网诞生后,很多学者提出了虚拟货币的概念,并尝试构造一种数字货币。但是这些货币一直无法解决一个重要的问题:二次消费(Double Spending)。日常的纸币在消费时需要把纸币直接交给对方,纸币消费后是无法在手中保留的。但是数字货币不行,因为计算机中存储的东西可以任意复制和粘贴,用户完全可以把电子货币复制一份,并用复制的电子货币重复完成交易。一直以来,解决二次消费问题的方法是引入一个类似银行的第三方(也成为重要认证机构)。所有的交易信息都要告诉第三方,有它来确认用于交易的电子货币在之前是不是已经被使用过了。很显然,如果交易规模太大,或者第三方的安全出现问题,整个电子货币系统就会崩溃。&p&2008 年 10 月 31 日,一个化名中本聪(Nakamoto S.)的人在一个很不知名的密码学论坛上公开了一篇题目为《比特币:一种点对点电子现金系统》(BitCoin: A Peer to Peer
Electronic Cash System)的论文。正是提出了比特币的概念。然而,到现在为止我们也不知道这个中本聪到底是谁,甚至连这个人是哪个国家的都不知道。从名字上看,这个人似乎是一个日本人,名字的粗略含义是“认真思考”。不过从论文中我们可以肯定的是,这个人精通密码学,并且有很不错的数学素养。&/p&&p&这篇论文刚发布的时候,在业界并没有得到什么反响。中本聪本人似乎一直在编写比特币系统的代码。2009年1月,比特币开源客户端上线。同时,中本聪通过挖矿的方式,获得50个比特币,这也是第一批比特币。&br&&/p&&blockquote&一直到1岁6个月大的时候遇到一个好心人,他爹一大堆糊糊换到两块披萨,才给比娃开荤,你说,也是奇了,这娃开荤就能吃俩披萨,吃完还下地走路了,然而比娃还没走出去多远,一转身,他爹也不见了,至今也没个信儿。&/blockquote&日,也就是中本聪发布论文的大约1年半后,来自美国佛罗里达州的程序员拉兹洛?汗耶克(Laszlo Hanyecz)使用比特币交易平台发起了一个有关披萨的交易。他希望花费10000个比特币购买两张披萨。日,这笔交易得到了确认。一位来自英国的卖家通过信用卡完成了此笔交易。这是历史上首个比特币的真实交易,5月22日也成为了一个历史性的日子,称为比特币披萨日(Bitcoin Pizza Day)。&p&至此以后,比特币社区出现了一个单位,叫做披萨指数(Pizza Index),这个值标注了所购买的披萨现在值多少钱,也就等价于10000比特币现在值多少钱。当时披萨指数为41美金。截至目前为止,披萨指数已经达到1亿美金。不知道当时吃掉这披萨的汗耶克现在作何感想…(感谢&a href=&https://www.zhihu.com/people/7daac46c75d7cac1e7d2& data-hash=&7daac46c75d7cac1e7d2& class=&member_mention& data-hovercard=&p$b$7daac46c75d7cac1e7d2& data-editable=&true& data-title=&@James Swineson&&@James Swineson&/a& 在评论中的指正,原始文章中Index翻译成了索引值,实际应该翻译成指数)&br&&/p&&p&&figure&&img src=&https://pic2.zhimg.com/v2-895a07ae16b23fc19bea73fc_b.jpg& data-rawwidth=&800& data-rawheight=&599& class=&origin_image zh-lightbox-thumb& width=&800& data-original=&https://pic2.zhimg.com/v2-895a07ae16b23fc19bea73fc_r.jpg&&&/figure&&b&拉兹洛?汗耶克购买的披萨&/b&(来源:&a href=&https://link.zhihu.com/?target=https%3A//en.bitcoin.it/wiki/File%3ALaszlospizza.jpg& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&en.bitcoin.it/wiki/File&/span&&span class=&invisible&&:Laszlospizza.jpg&/span&&span class=&ellipsis&&&/span&&/a&)&br&&/p&&blockquote&比娃没娘亲,爹也没了,和所有没爹娘管的娃一样,比娃一天到晚就在街头混,被流氓黑老大当肉票,还得陪着黑老大吸粉、逛窑子、抢地盘、偷鸡摸狗,活一天算一天,还好这娃天生异禀,遗传了他老爹的分身术、隐身术和金钟罩,不怕挨揍,练过综合格斗的徐教练都打不倒他,比一代雷宗师还能挨打,不过据说怕另一代闫大师隔山打牛,怕套路。还好比娃饭量奇大,长得快,不管咋说,在小混混大混混欺负下居然活了下来,越长越帅,比他爹还帅(村里没人见过他爹)。&/blockquote&&p&比特币的构造基于密码学,所使用的密码学算法至今仍然认为是安全的。与之前的电子货币不同,比特币具有非常好的安全特性,如匿名性、交易不可否认性等,因此比特币发展迅速。&/p&&blockquote&各路黑老大都喜欢带着比娃,提个密码箱,觉得倍儿有面子,最惊险的一次是新丝路黑老大带着他得罪了村长,村长用媳妇钓鱼,比娃漏了马脚,村长带着保镖把新丝路黑老大给灭了,比娃跑得快,捡了一条小命。&/blockquote&&p&比特币虽然看似非常安全,但仍然有一些安全漏洞。最初的比特币交易记录中没有应用区块链(Blockchain)技术,因此交易不需要认证,这也意味着恶意用户可以绕过比特币的限制,创造无限量的比特币。日,一次交易竟然凭空创建了1840亿个比特币。几小时后,此次交易被发现,交易记录从比特币记录中移除,比特币开发者们也修复了此漏洞。这是比特币历史上唯一一个被发现并利用的安全漏洞。&/p&&p&&figure&&img src=&https://pic1.zhimg.com/v2-7bc7e4a18d93c4cd7e68e4ea_b.jpg& data-rawwidth=&350& data-rawheight=&175& class=&content_image& width=&350&&&/figure&&b&Mt.Gox公司标志&/b&(来源:&a href=&https://link.zhihu.com/?target=https%3A//en.bitcoin.it/wiki/File%3AMtGox.png& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&en.bitcoin.it/wiki/File&/span&&span class=&invisible&&:MtGox.png&/span&&span class=&ellipsis&&&/span&&/a&)&/p&&p&然而,比特币由于一直没有被政府部门承认,因此其交易一直处于不合法状态。但是由于比特币绝佳的安全特性,比特币一直被用于黑市交易,如洗钱、违禁品交易等。2011年6月,高科传媒发表一篇文章,指出一个叫做Silk Road的网站接收比特币支付,出售违禁品。同月,比特币交易平台被曝光出用户信息泄露问题。承担90%交易的比特币平台Mt.Gox承认用户信息遭到泄露,共计泄露了60000份用户名、电子邮件和密码,600人的比特币被盗。Mt.Gox在7天内停止了交易。这也使得比特币的信任值大幅下降。&/p&&blockquote&&p&此后黑老大们把比娃盯得紧,关黑屋里,2013年比娃逮着个机会偷偷拿了一个黑老大的500欧大钞,在上面写着叔叔阿姨救我,被村西边默大婶捡到,要是以前,嘿嘿,这个大婶家可不是吃素的,比那些黑老大还要黑还要大,因为横过分了,被前村长、现任村长,还有文娱干事和体育干事联合起来揍了一顿,洗心革面,开了个铁铺,一心打铁,现在也是村里大户,把比娃收养了。&/p&&p&比娃由于说不清爹娘,一直没户口,默婶也只能给他弄个暂住证,没法摇号买车,还好比娃会天生会网遁,比土行孙还厉害,只有有网,唰,就跑不见了,虽然比娃时不时还被黑老大拎回去帮着提箱子,但总的日子越过越好,走路也比以前神气了,匪气少了些,还有点儒雅,大家有时不再叫他比娃,有姑娘背地里叫他比尔先生了。&/p&&/blockquote&&p&2013年,比特币终于得到了国家层面的认可。2013年7月,由金融监管权威机构监管的德国比特(Bitcoin Deutschland)成为了首家与银行建立直接合作关系的欧洲比特币交易平台,该公司同意与德国Web 2.0银行Fidor合作将比特币兑换为其他币种。2013年8月,德国金融部(Ministry of Finance)已经正式认可比特币成为一种“货币单位”(Currency Unit)和“私有资产”(Private Money)。德国政府正式承认了比特币的合法货币地位,德国也成为了全球首个认可比特币为合法货币的国家。&/p&&blockquote&&p&村长在村东边开了一家空空小店,雇了一个叫安培的斜眼老大爷做掌柜,专做些无本的买卖,跑腿的事都让一个叫円的店小二在干,虽然现在破落了些,但安掌柜家有个叫仓井的闺女,从小特能挣钱,攒了不少银子,还够花几年,但坐吃山空啊。&/p&&p&安掌柜看默大婶的铁铺自从有了比娃,生意是越做越好,动起了心思,对仓井说,你也老大不小了,该有个归宿了,仓井脸一嘟嘴,才不呢,人家还小嘛,人家要陪ちち一辈子。&br&&/p&&p&安掌柜眼神闪过一丝不易觉察的不屑,我看你还是惦记着小二円吧,仓井啊,小二円细胳膊细腿,每次出门都被揍得鼻青脸肿,円没出息,你不能没出息啊,这空空小店你就不想做成大店,我看村西默婶的铁铺生意是越来越来好了,那帮默婶做生意的小伙还不赖,是把做生意的好手,虽然长得有点黑。&br&&/p&&p&仓井脸一红,爹爹说的是比哥哥啊,井井都听爹爹的安排,井井一定做个大店,伺候好ちち。安掌柜嘴角飞快完成了下弯上翘到恢复正常,经历了一个正弦函数完整周期,正色道,我已经找村长他妈看过日辰,村长东家也同意了,4月1日是个好日子,把比尔给你招过来,出门都带上,爹知道你的心思,小二円也给你留着,你们同心协力,做个大店,大大的有。&br&&/p&&p&安掌柜心思慎密,知道这不是什么光宗耀祖的事,也没敢大操大办,只想悄悄的进村,打枪的不要。&br&&/p&&/blockquote&&p&随着比特币被德国认可,有国家陆续开始接受比特币。2013年10月,加拿大温哥华推出了世界上首个比特币ATM机。2013年11月,英国维珍银河公司宣布接受用户使用比特币预定机票。&/p&&p&然而,比特币在其它国家的推行并不顺利。美国对比特币持有谨慎态度,认为需要长时间发展后才能确定其有效性。俄罗斯对比特币持强硬态度,韩国拒绝承认比特币的货币地位,荷兰警告比特币风险。泰国将以下活动视为违法:买卖比特币、用比特币买卖任何商品或服务、与泰国境外的任何人存在比特币的往来。2013年12月,中国人民银行宣布所管辖银行不接受比特币,这也使得比特币价值暴跌。但随后比特币价值又得到回升。&/p&&p&日本对比特币的态度由不接受转变为了接受。2014年6月,日本执政党自民党表示,决定暂时不监管比特币。2015年8月,日本政府考虑比特币监管事宜。2016年5月,日本首次批准数字货币监管法案,并定义为财产。日,日本正式通过相关法律,正式确认比特币为一种合法的支付方式。&/p&&blockquote&&p&没想到这事还是传出去了,引起了村南边一个姓澳的大户人家的注意,这户人家有些来头,是前村长的二儿子,因为老是顶撞他老爹,被他老爹赶到村南边一个到处都是鸵鸟屎的小岛上,没想到这混小子因祸得福,千千万万年下来,这些鸵鸟屎变成了矿石,老值钱了,澳大户看到有了比娃,默婶的铁铺红红火火,安掌柜的小店要变大店的样子,一天到晚琢磨怎么把比娃撬过来。&/p&&p&想一想比娃已经不是当年小黑屋的比娃,当初我对你爱理不理,现在你让我高攀不起,不好办啊,突然眼睛一亮,澳元波娃,就是她,不信他比娃不动心,可是澳大户眼神很快暗了下去,澳元波娃可是澳大户的黄花大闺女,心疼啊,澳大户心一横,不管了,舍不得孩子套不着狼,有了比娃的隐身术,咱的生意也可以做到全村了,托了人和比娃说合。&/p&&p&比娃先是有些犹豫,那人说了澳元波娃如何如何,比娃窃喜,却淡淡应道,上半年是没有时间了,下半年可以安排,那人飞也似地回去,回主人话,比娃说下半年可以。&/p&&p&日,澳大户迫不及待向村里宣布,比娃和他家的澳元波娃好上了,问了卦,7月1日,下半年的第一个日子是个好日子。这事有些突然,村里大妈买菜时候都在互相打听,这个比特币是个什么来历,怎么这些大户人家,生意人家,有头有脸的,争着要把自家的闺女A元B娃、E朵兰D娜什么的许给比特币,有的说比特币有神力,谁家姑娘许了他,家里马上黄金满屋,要什么有什么。&/p&&/blockquote&&p&日,澳大利亚政府宣布,澳大利亚将于日起确认比特币为合法货币,并将废除比特币商品与服务税。&/p&&blockquote&&p&才一日,5月13一大早,突然传疯了,说比尔得了一种叫什么比特币病毒的病,得这病比尔自己倒没事,全村总共才195户人家,把村里99户人家都祸害了,前村长家差点弄出人命。&br&&/p&&p&各家掌柜的,东家,买菜的,男人女士,大人小孩都议论纷纷,村里一些姑娘可担心了,一些男士恨得牙痒痒的,还有看热闹的,一时谣言漫天飞,不知道比特币怎么啦,不是刚和仓井才好上么,怎么村里其他家里也出事了,有几户人家的私人医生说了,病根出在村长家那个也叫比尔的公子身上,他卖有洞的连裤袜给村里,就他一家卖连裤袜,不退货还不包修,都好多年了,前不久才说可以给大家弄个补丁把洞遮住,没来得及遮住的都被祸害了,是不是真的啊,出了这么大的事,比娃和澳元波娃的好事会不会黄,村长和村支书会不会出来表个态,比特币以后还会祸害村里么,比特币会不会被做掉。&/p&&p&欲知后事如何,啪!(敲桌子)且听下回分解。&/p&&/blockquote&&p&日,全球爆发了勒索病毒WannaCry,而这个病毒的一大特点就是只允许比特币支付勒索金。这个病毒利用了微软已经于2017年3月发现并退出相关补丁的漏洞,利用网络的445端口完成远程代码执行功能。这使得很多人意识到了比特币的一大重要的问题:因为比特币的匿名性,支付方只能通过比特币交易平台确认支付成功,但无法知道被支付方是谁。不光是支付方不知道,除了被支付方外的所有人都无法通过技术手段确认被支付方是谁。这也使得比特币成为勒索的绝佳平台:无法追踪被支付方的身份,只能让犯罪分子逍遥法外。&/p&&p&&figure&&img src=&https://pic4.zhimg.com/v2-35efbcafb813ad94f30b5f7_b.jpg& data-rawwidth=&817& data-rawheight=&565& class=&origin_image zh-lightbox-thumb& width=&817& data-original=&https://pic4.zhimg.com/v2-35efbcafb813ad94f30b5f7_r.jpg&&&/figure&&b&WannaDecryptOr勒索对话框&/b&(来源:&a href=&https://link.zhihu.com/?target=http%3A//www.59.cn/service/htm/page/3909.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&全球爆发Wannacry病毒 59互联推出紧急应对措施-服务中心,客户服务,59互联-中原最大的服务器租用/主机租用服务提供商,机房服务专家&/a&)&/p&&p&后事如何?且听下回分解。&/p&&h2&参考资料&/h2&&ol&&li&秦波,陈李昌豪,伍前红等.比特币与法定数字货币.密码学报,):176-186.&a href=&https://link.zhihu.com/?target=http%3A//www.jcr.cacrnet.org.cn%3A8080/mmxb/CN/Y/176%23& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&比特币与法定数字货币&/a&.&/li&&li&木云三君.一张图了解比特币发展史.&a href=&https://link.zhihu.com/?target=http%3A//www.360doc.com/content/13/69.shtml& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&一张图了解比特币发展史&/a&.&/li&&li&Wikipedia. History of Bitcoin. &a href=&https://link.zhihu.com/?target=https%3A//en.wikipedia.org/wiki/History_of_bitcoin& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&History of bitcoin&/a&.&/li&&li&Bitcoinwiki. Laszlo Hanyecz.&a href=&https://link.zhihu.com/?target=https%3A//en.bitcoin.it/wiki/Laszlo_Hanyecz& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Laszlo Hanyecz - Bitcoin Wiki&/a&.&/li&&li&玩币族.比特币是合法的吗?哪些国家承认比特币是合法的?比特币合法吗?&a href=&https://link.zhihu.com/?target=http%3A//www.wanbizu.com/baike/.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&比特币是合法的吗?哪些国家承认比特币是合法的?比特币合法吗?_玩币族&/a&.&/li&&li&比特娱乐.4月1日日本将正式认可比特币为合法支付货币.&a href=&https://link.zhihu.com/?target=http%3A//www.bitebi988.com/1221& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&4月1日日本将正式认可比特币为合法支付货币 | 比特币娱乐资讯网&/a&.&/li&&li&全景网.澳大利亚政府将于7月1日承认比特币为货币.&a href=&https://link.zhihu.com/?target=http%3A//www.p5w.net/weyt/4731.htm& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&澳大利亚政府将于7月1日承认比特币为货币_WE言堂_WE言堂_全景网&/a&.&/li&&/ol&
恭喜伍前红老师开通了自己的微信公众号“舌尖上的密码学”!公众号上的第一篇文章《比特币外传》文采飞扬,用一个幽默的故事讲述了比特币历史。比特币的诞生与发展充满了曲折,随着5月13日勒索病毒“WannaCry”的爆发,有关比特币的讨论又一次激烈了起来。…
&p&整个软件链条是这样的,农民种田有粮食,有饭吃了民工挖沙开始制硅片,有了硅片后芯片设计公司设计CPU,有了cpu开始设计操作系统,有了操作系统开始设计软件开发平台,有了开发平台开始设计软件,有软件可以指挥机器,有了机器可以科学高效种田。&/p&&p&软件是整个链条上的一环,不存在会开发底层api就比软件本身先进厉害,这个底层是整个社会不是软件本身,软件的现实价值是以市场价值为准,hao133,阿里巴巴以前做html的,腾讯做icq汉化的,只要是市场认可就能成就自身价值,做汇编语言,c语言反而离应用远很难赚钱,开发操作系统无数公司失败了,开发数据库无数公司失败了,开发编译语言无数公司失败了,但做网站的成功很多。底层技术一山不容二虎,占领市场后就会很快形成垄断,现在的nosql,大数据也形成了开源软件垄断。&/p&&p&不需迷信底层技术,只是链条上的一环,你要把精力放在你的上一环客户服务上,而不是下一环供应商。&/p&&p&软件开发技术经多年发展己经开始成熟,不是什么高科技只是工程量,软件开发只要用适合的技术最大限度发挥出业务功能就是厉害,现在底层技术己经很成熟基本被垄断了,多数软件开发是面向应用,对底层技术能用别人的尽量用别人的,这样节省成本提高利润。&/p&
整个软件链条是这样的,农民种田有粮食,有饭吃了民工挖沙开始制硅片,有了硅片后芯片设计公司设计CPU,有了cpu开始设计操作系统,有了操作系统开始设计软件开发平台,有了开发平台开始设计软件,有软件可以指挥机器,有了机器可以科学高效种田。软件是整个…
你想问黑百度的风气是从什么时候开始的,那么我们就从头说起:&br&&br&百度这家美资公司,于1999年底在&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E7%25BE%258E%25E5%259B%25BD& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&美国&/a&&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E7%25A1%%25B0%25B7& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&硅谷&/a&成立,其注册地点是&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E5%25BC%%259B%25BC%25E7%25BE%25A4%25E5%25B2%259B& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&英属开曼群岛&/a&和&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E8%258B%25B1%25E5%25B1%25AC%25E7%25B6%25AD%25E4%25BA%25AC%25E7%25BE%25A4%25E5%25B3%25B6& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&英属维京群岛&/a&,然后在国内注册的子公司。&br&&br&这家美资公司这些年都干了什么呢,我们从&b&流氓软件&/b&开始说起:&br&&br&不知道你听说过百度搜霸没有,以下是官方说明&br&&br&&blockquote&百度搜霸中文搜索引擎百度出品的一款免费浏览器工具栏。可以使用户更方便地使用百度搜索的各项产品。&br&&/blockquote&&br&如果你网龄较大,那么你可能对这类软件印象深刻,当时“跪求卸载百度插件的方法”、“脱衣求...”、“泣血求...”、“卖身求...”的文章可以说是遍地开花,百度搜霸在日被中国网络行业协会点名公布为10款&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E6%25B5%%25B0%%25BD%25AF%25E4%25BB%25B6& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&流氓软件&/a&名单之一并被勒令整改。&br&&br&在06年的时候,微软公布了中国十大流氓软件,百度搜霸又位于第三,仅次于3721和CNNIC。&br&&br&百度的这类插件是非常可恨的,因为其采用了Hook技术,经常导致电脑运行不正常、死机、访问网站出问题、无法完全卸载、甚至有的还有让人疑虑重重的后门设置等问题。&br&&br&说起用插件方式安装软件的鼻祖,还得首推3721,自那以后,CNNIC、百度、新浪、以及现在的淘宝纷纷采用插件方式安装软件。&br&&br&你可以说这时候的中国「互联网」是野蛮发展的,所以这些都是可以理解的,但是:&br&&br&当3721、新浪、CNNIC基本上已经从良了,洗手不干了,不再狂推自己的插件了,没想到百度却继续冒着天下之大不韪,顶风作案,到处弹出自己的安装插件,终于使自己成为新的互联网撒旦。&br&&br&百度在现在的&b&公元2016&/b&年仍然在做这样的事情,是的,你没有听错。如果你不信或是不知道,可以看看 &a data-hash=&efa8acc7becedac& href=&//www.zhihu.com/people/efa8acc7becedac& class=&member_mention& data-editable=&true& data-title=&@Mariotaku& data-tip=&p$b$efa8acc7becedac& data-hovercard=&p$b$efa8acc7becedac&&@Mariotaku&/a&的&a href=&https://www.zhihu.com/question//answer/& class=&internal&&这篇回答&/a&。&br&&br&作者在官网安装了百度影音,在没有任何选项的情况下,出现了百度音乐、金山毒霸、小兵天气、小兵日历、图片查看器五个应用!&br&&br&m君是这样评价的&br&&blockquote&&b&为商业利益捆绑软件,是为无德,&br&&/b&&br&&b&不经用户同意强行安装,是为无耻!&/b&&br&&br&&br&&b&无耻!&/b&&br&&br&&br&&b&无耻!!&/b&&br&&br&&br&&b&无耻!!!&/b&&/blockquote&恩,软件捆绑这方面我就不多说了,你若干百度搜索软件时点击一下什么高速下载,那么恭喜你,电脑中桶啦,在Windows控制面板的“程序与功能”下应用程序列表中无法找到这两款软件,只能在软件安装的目录下启动卸载程序。&br&&figure&&img src=&https://pic1.zhimg.com/50/f2283f8effd3a76b490e9ecdcb2790bd_b.jpg& data-rawwidth=&600& data-rawheight=&390& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic1.zhimg.com/50/f2283f8effd3a76b490e9ecdcb2790bd_r.jpg&&&/figure&&br&在卸载过程中,程序会弹出一些误导的选项阻止将其卸载。即使你正确选择了卸载选项也会有无法删除的文件和注册表项残留在系统当中,想看效果可以&a href=&//link.zhihu.com/?target=http%3A//www.bilibili.com/video/av2943015/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&点这个链接看视频&/a&。&br&&br&再说说&b&竞价排名&/b&,或者可以说是&b&影响网民使用的竞价排名&/b&&br&&br&竞价排名这个东西呢,可以说是百度借鉴的(其实百度几乎所有的东西都是「借鉴」的),百度学习经验搞了个中国特色的竞价排名。&br&&br&百度搜索结果含有大量的“竞价排名”,也就是企业付款买下的广告。这里是谷歌和百度搜索同一个关键词的结果,这些广告链接和真实搜索结果混杂在一起,除了下方有一个极小的“推广”加以标注外,没有其他区别,用户往往被蒙骗误认其为搜索结果&br&&br&&figure&&img src=&https://pic1.zhimg.com/50/ac961a172df7fc1f25abb2b_b.jpg& data-rawwidth=&1584& data-rawheight=&900& class=&origin_image zh-lightbox-thumb& width=&1584& data-original=&https://pic1.zhimg.com/50/ac961a172df7fc1f25abb2b_r.jpg&&&/figure&&br&&br&看看百度和谷歌的推广,那个能明显看出是广告?&br&&figure&&img src=&https://pic2.zhimg.com/50/6e93e0dda21b467d42724e_b.jpg& data-rawwidth=&600& data-rawheight=&62& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic2.zhimg.com/50/6e93e0dda21b467d42724e_r.jpg&&&/figure&&br&&br&&br&百度推广的广告在其中排名非常靠前。曾有用户举报有一段时间在百度上搜索“玻璃”,前七页全部是广告。在遭到网民抗议后百度有所收敛,但其首页广告数在各搜索引擎中仍遥遥领先。直到现在,在百度中搜索各种癌症的名称,所得结果的第一页仍都全是广告。&br&&br&日,由河北省政府办公厅主办的“中国河北”网也被爆出参加了百度的竞价排名,在百度搜索关键词“政府网站”,出来的结果是“中国河北”网排名第一,引来各方质疑。&br&&br&有媒体引述相关人士消息称,百度是谁给的钱多就排名靠前,谁给的钱少就靠后,不给钱就可能会受到屏蔽。通常情况下一家本身没有设立实体机构的公司只要付费给百度搜索,这家企业就会变成全国最大的连锁机构,平白无故多出了全国各地的分公司。&br&&figure&&img src=&https://pic4.zhimg.com/50/60ec8459aea23ffd52f9264_b.jpg& data-rawwidth=&805& data-rawheight=&510& class=&origin_image zh-lightbox-thumb& width=&805& data-original=&https://pic4.zhimg.com/50/60ec8459aea23ffd52f9264_r.jpg&&&/figure&&br&百度上充斥的虚假医疗广告,虚假培训广告可谓害人无数。反百度联盟发起人郭振东在与百度上海公司员工的联络中获悉,只要交6000元就能将被封的网站解禁,并承诺在一年内不再屏蔽。&br&&figure&&img src=&https://pic4.zhimg.com/50/fead23cdd69c_b.jpg& data-rawwidth=&600& data-rawheight=&295& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic4.zhimg.com/50/fead23cdd69c_r.jpg&&&/figure&&br&然而,其在中国大陆最大的竞争对手&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E8%25B0%25B7%25E6%25AD%258C& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Google&/a&是以全自动的搜索方法排除了人为因素对搜索结果的影响,不接受付费的竞价排名,亦不出售搜索结果中的排序位置,而是依照点击人气、质量等因素进行综合排列。&br&&br&投放在Google的广告(含谷歌中国),只会出现在搜索页面的右边或者顶部的独立区域,并且用竖线、底色与其它的自然搜索结果明显地区别开来和加上“赞助商链接”(“Sponsored Links”)的标识。另外,这些“广告”也不是纯粹根据广告主出价来排序,还会考虑到该广告对用户搜索词的相关度,不是出价最高就一定是排在第一。&br&&br&2009年7月,百度再度因为竞价排名被北京史三八整形医院告上法庭,理由是从百度搜“北京史三八整形医院”,出现的是其他医院的链接。同年12月28日,朝阳法院判决伊美尔的行为违反了诚信原则,构成不正当竞争,百度则没有尽到注意义务,两家共同赔偿史三八医院13万余元。&br&&br&2010年5月,《南方都市报》撰文指出,百度的竞价排名和对未参与竞价排名的企业实施封锁策略,违反了最基本的媒体伦理和道德,这种人为的选择搜索结果,并删除对竞价企业的有害信息,完全扭曲了信息世界的真实影像,向网民灌输的是百度设定的信息,切断了网民获取真实信息的可能性,是一种洗脑式的经营手法。&br&&br&这方面我也不详细展开了,因为我们要到下一个话题了:&b&竞价除名&/b&&br&&br&受“竞价排名”启发,百度与数家公关公司合作,删除搜索结果上一些广告合作伙伴的负面消息,陷入竞价除名丑闻。在披露的北京涛澜通略国际广告有限公司三鹿服务小组《三鹿集团公关解决方案建议》中被曝光三鹿集团曾打算用300万广告投放换取删除该公司奶粉污染事件的负面新闻的丑闻。&br&&blockquote&安抚消费者,1至2年内不让他开口;与百度签定300万广告投放协议以享受负面新闻删除,拿到新闻话语权;以攻为守,搜集行业竞争产品‘肾结石’负面新闻的消费者资料,以备不时之需。百度的300万框架合作问题,目前奶粉事业部已经投放120万元,集团只需再协调180万元就可以与百度签署框架,享受新闻公关保护政策。&br&&/blockquote&&figure&&img src=&https://pic3.zhimg.com/50/8c7cadd67fdd_b.jpg& data-rawwidth=&298& data-rawheight=&418& class=&content_image& width=&298&&&/figure&&br&同年11月8日,首次有文件证实,百度内部确实存在“公关保护”和“负面信息删除”服务。文件显示,提高品牌信誉度正面舆论引导”,以及危机公关中“在网页搜索中屏蔽链接(活链)”都被百度作为“增值服务”向客户推荐。该消息传出后引发业界一片哗然。&br&&br&&figure&&img src=&https://pic3.zhimg.com/50/44f674b0accfa83c44bcc923c4cc997d_b.jpg& data-rawwidth=&2040& data-rawheight=&1347& class=&origin_image zh-lightbox-thumb& width=&2040& data-original=&https://pic3.zhimg.com/50/44f674b0accfa83c44bcc923c4cc997d_r.jpg&&&/figure&&br&&br&下面再讲讲&b&百度被屡次曝光的光荣史吧&/b&&br&&br&日和16日,中国中央电视台午间新闻栏目《新闻30分》连续两天播出曝光百度竞价排名黑幕,各大门户网站纷纷对此作出报道或者评论。&br&&figure&&img src=&https://pic2.zhimg.com/50/eb420a26e65a580a97b6fb8b4a0e91a9_b.jpg& data-rawwidth=&450& data-rawheight=&316& class=&origin_image zh-lightbox-thumb& width=&450& data-original=&https://pic2.zhimg.com/50/eb420a26e65a580a97b6fb8b4a0e91a9_r.jpg&&&/figure&&br&据《新闻30分》报道,该台记者用肿瘤作为关键词在百度搜索时,结果排名第一的为“中国抗癌网”,但其首页介绍的中国中医科学院肿瘤学首席专家、资深教授,中华医学会肿瘤专业委员会特邀教授等多个头衔的白希和教授经过中国中医科学院院长秘书田毅和中华医学会组织管理部崔新生核实,其组织中并无白希和一人。&br&&br&据百度在线网络技术北京有限公司客户发展C5部销售代表韩亮的说法,在百度搜索结果排名上,“花的钱越多效果肯定越明显。”同时,还曝出多宗因网站管理者拒绝交钱参加竞价排名而被百度屏蔽网址的丑闻,有网民甚至称百度的竞价排名是“网络公害”。&br&&br&随后百度召开全国各区紧急会议,应对此次事件并下撤了小部分遭央视曝光的“治疗性病”、“癌症”等关键词的竞价排名业务。但稍后又被网民发现相关报道新闻标题在百度新闻搜索中变成了《谷歌公正性遭质疑 央视曝光竞价排名》。&br&&figure&&img src=&https://pic4.zhimg.com/50/d1d0a8f14fb1_b.jpg& data-rawwidth=&490& data-rawheight=&415& class=&origin_image zh-lightbox-thumb& width=&490& data-original=&https://pic4.zhimg.com/50/d1d0a8f14fb1_r.jpg&&&/figure&&br&&br&对于百度的竞价排名和封杀网站行为,中国互联网协会和谷歌表示,搜索结果不应该被人为干预,应以公正和客观作为整个行业的标准。百度表示也认同“公正客观的行业标准”,但不同意完全不干预搜索结果。&br&&br&百度指公司每天处理的作弊及垃圾网站数量大约在3万,“维护公正性的关键应该是清扫垃圾信息”。但有曾参与百度竞价的旧客户指出,百度自己定义“垃圾信息”、自己定义“作弊”,然后自行封杀网站,“这完全是滥用霸权和垄断”。&br&&br&&p&受此影响,在美国东部时间日开市的&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E7%25BA%25B3%25E6%2596%25AF%25E8%25BE%25BE%25E5%B& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&纳斯达克&/a&市场交易中,百度的股价曾经一度下跌27%,至130.51美元,为自2007年5月以来的股价最低点,最终下跌25%至134.09美元。&/p&&br&&p&日晚,百度CEO李彦宏在事件曝光后首度进行“内部道歉”,他在向所有“同事及合作伙伴”发出的公开信中,称央视对竞价排名的连续曝光对百度品牌形象造成了伤害,他为此感到“痛心疾首”,并将承担全部责任。但对媒体所报道的不给钱就封站的事予以否认,称百度从来没有干过,今后也不会。&/p&&br&&p&对于李彦宏的这封“公开信”,有媒体指责他的道歉毫无诚意,并且是在推卸责任。&/p&&p&&br&第二天,李彦宏在就央视有关百度搜索竞价排名的报道召开的分析师电话会议上表示,竞价排名结果如果和用户搜索结果相关性最高时则可能不会伤害用户体验。&/p&&figure&&img src=&https://pic4.zhimg.com/50/efa0b6ad5eea261f8f79_b.jpg& data-rawwidth=&600& data-rawheight=&578& class=&origin_image zh-lightbox-thumb& width=&600& data-original=&https://pic4.zhimg.com/50/efa0b6ad5eea261f8f79_r.jpg&&&/figure&&br&&p&今年,百度又被曝光血友病事件,央视新闻1+1栏目对百度血友病吧被卖一事进行了专题报道。近期的新闻1+1主题为《百度的尺度,究竟有几度?》,央视质疑百度公司的企业尺度有问题。&/p&&br&&p&下面我还想特别说说&b&百度劫持域名一事&/b&&/p&&br&&p&在2002年9月,百度出现无法使用的情况,该公司随即紧急处理了所谓“有害”信息(即“敏感”信息)之后,百度恢复正常。随后,中国大陆网民发现突然无法访问&a href=&//link.zhihu.com/?target=http%3A//Google.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Google.com&/span&&span class=&invisible&&&/span&&/a&网站,此状况持续了近2周,此事使大量网民被迫放弃Google而去使用百度。&/p&&p&&br& 期间&a href=&//link.zhihu.com/?target=http%3A//Google.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Google.com&/span&&span class=&invisible&&&/span&&/a&域名被指向了包括百度在内的多家搜索网站,后来虽然恢复,但从此&a href=&//link.zhihu.com/?target=http%3A//Google.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Google.com&/span&&span class=&invisible&&&/span&&/a&在中国大陆变得十分不稳定,其中“&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E7%25BD%%25A1%25B5%25E5%25BF%25AB%25E7%& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&网页快照&/a&”曾长时间无法使用。&br&&/p&&br&&p&日,&a href=&//link.zhihu.com/?target=http%3A//Google.com& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&Google.com&/span&&span class=&invisible&&&/span&&/a&、&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/Windows_Live_Search& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&Windows Live Search&/a&和&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E9%259B%%E6%E7%25B4%25A2& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&雅虎搜索&/a&再次遭到&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E5%259F%259F%25E5%E5%258A%25AB%25E6%258C%2581& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&域名劫持&/a&到百度,引起海内外媒体广泛报道。&/p&&br&&p&日,中国大陆知名P2P资源分享网站&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/VeryCD.com& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&VeryCD.com&/a&的母公司&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E4%25B8%258A%25E6%25B5%25B7%25E7%25BB%25B4%25E8%25A5%25BF%25E5%2585%25AC%25E5%258F%25B8& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&VeryCD公司&/a&发布公告称,部分北京网通(联通)用户在访问VeryCD.com、Emule.org.cn、射手网、btchina以及中国国外的isohunt.com、mininova.org网站的时候,会直接跳转到百度。随后网通客服人员称与此事无关。&/p&&br&&p&恩,最后&b&百度贴吧的一系列行为&/b&也是要大书特书的&/p&&ul&&li&曝光台&/li&&/ul&&figure&&img src=&https://pic3.zhimg.com/50/ae1acce3ee3b_b.jpg& data-rawwidth=&580& data-rawheight=&282& class=&origin_image zh-lightbox-thumb& width=&580& data-original=&https://pic3.zhimg.com/50/ae1acce3ee3b_r.jpg&&&/figure&&br&
贴吧曝光台的主管“逍遥川少”,真名刘灏,被网民质控收受戒色吧吧务组于明涛等人的贿赂以采取对戒色吧的保护措施,并且绕过审核部门直接封禁了“谴责戒色吧”。&br&&ul&&li&空降广告&/li&&/ul&百度时常会在一些贴吧的首页上强行开直播广告贴。有时亦有诸多学术类、人文类的贴吧遭强行植入广告。&br&&br&&p&“房产快讯大管家”,是一个带有贴吧实名认证的百度账号,当广州市或深圳市IP地址的用户回贴内容带有“买房”“现房”等字眼时,它会即刻在楼下回复出售现房的广告,并且该帐号无法被封禁或拉入黑名单,该账号2月发贴数已超过20万。&/p&&br&&p&他的兄弟“房产小站长”也是带有贴吧实名认证的百度账号,当北京市&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/IP%25E5%259C%25B0%25E5%259D%2580& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&IP地址&/a&的用户回贴内容带有关于“买房”“现房”等字眼时,它亦会即刻在楼下回复出售现房的广告,并且该帐号无法被封禁或拉入黑名单,该账号2月发贴数已超30万。&/p&&br&&p&现在又多了一个“贴吧触点推广”,随机在帖子中回复&a href=&//link.zhihu.com/?target=https%3A//zh.wikipedia.org/wiki/%25E4%25BA%259A%25E9%25A9%25AC%25E9%E5%2585%25AC%25E5%258F%25B8& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&亚马逊&/a&促销信息,该账号不仅无法被封禁或拉入黑名单,且发表的回复完全无法删除。百度官方亦禁止所有用户对其进行投诉。&/p&&ul&&li&戒色吧&br&&/li&&/ul&&p&戒色吧拥有一批专业的举报团队,专门举报各类贴吧,不管该贴吧是否违规。被举报的著名色情贴吧有“黑木耳吧”,各类同人本子吧。&/p&&br&&p&戒色吧也举报了大量的不违规贴吧,如“新妹魔王的契约者”吧,该吧仅仅建立数月就被举报,戒色吧称其为色情贴吧,但是并没有发现任何露点图片。戒色吧也曾因“东方吧”上传东方Project同人图片(仅仅由于穿着泳装)而进行举报,理由同样是色情。&/p&&br&&p&戒色吧同时举报学术类贴吧“生物吧”“物理吧”等,称其为伪科学。同样一些和历史有关的贴吧“战列舰吧”“战斗机吧”等因为一部分的战舰娘化而称之为传播色情。(详见舰队Collection)&/p&&figure&&img src=&https://pic3.zhimg.com/50/7ceb6c510dc_b.jpg& data-rawwidth=&592& data-rawheight=&1081& class=&origin_image zh-lightbox-thumb& width=&592& data-original=&https://pic3.zhimg.com/50/7ceb6c510dc_r.jpg&&&/figure&&br&&p&同样由于戒色吧小吧主“刘福windy”(戒要怎么戒)称英伟达公司的Geforce GTX Titan Black显卡是山寨手机的不恰当言论,戒色吧举报了“显卡吧”意图保护其小吧主的声誉。&/p&&br&&p&戒色吧宣传“禁欲主义核心价值观”,声称男性在结婚前不可以自慰 ,并过度夸大自慰的危害(如把身材矮小青春痘等归因于自慰),使人对自慰产生各种负面情绪。&/p&&br&&p&戒色吧善于为自己的违规行为进行辩解,把吧内内容/禁欲可能带来的不良后果称之为“戒断反应”,并声称反对去医院接受现代医学的治疗而是在戒色吧接受网络上不知名人士的诊断和治疗。&/p&&figure&&img src=&https://pic4.zhimg.com/50/ed2f04a055bb25e50a0a089_b.jpg& data-rawwidth=&400& data-rawheight=&533& class=&content_image& width=&400&&&/figure&&br&&p&戒色吧已经开始向线下发展,如在公共厕所、布告栏、酒店、车站、餐馆、网吧厕所等地喷涂宣传语或粘贴宣传资料,甚至在人民币上印制宣传语。&/p&&br&&p&戒色吧也是极端民族主义者的聚集地,煽动民族仇恨(主要针对日本和美国)。拥有“抵制一切外来文化”的宣传。大肆举报ACG系列贴吧,以“贴吧扫黄警察”自居,但是同时戒色吧也存在种族歧视和宗教歧视,戒色吧声称不带有宗教色彩,而吧内都是各类佛经(主要是净空法师),“不净观”“白骨观”这类丑化女性的内容,并且有部分支持法轮功的内容。&/p&&br&&p&戒色吧在2015年10月后,由于大量缺乏批判自慰的文章,同时网络写手不够,便开始大量转载一些明慧网的内容加以佐证。网民收集了戒色吧内大量的反共言论,并质疑为何在言论受到管控的中国大陆这些内容被允许正常存在。&/p&&br&&p&戒色吧一名成员于百度某贴吧宣称要在日于大阅兵时段在北京制造爆炸案,目前已被刑拘。此前也有一名戒色吧11级成员通过向文化部举报了索尼PS4主机可以运行GTA5等暴力游戏而导致PS4主机入华延期。&/p&&br&&p&戒色吧所宣传的净空法师曾被定义为“非法渗透的境外宗教组织”(&a href=&//link.zhihu.com/?target=http%3A//www.zgdx.gov.cn/Article.asp%3Fid%3D96126& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&具体见此&/a&)。&/p&&br&&ul&&li&卖吧&/li&&/ul&&blockquote&交了七十万,你就是吧主了&/blockquote&&figure&&img src=&https://pic1.zhimg.com/50/fad2a25e0dc_b.jpg& data-rawwidth=&250& data-rawheight=&263& class=&content_image& width=&250&&&/figure&&br&&p&这句话出自百度贴吧舰队Collection吧,起源是国内某公司利用日本角川和DMM公司旗下游戏《舰队Collection》的大量数据(包括语音,游戏界面,人物立绘等)自行搭建起抄袭原游戏的私服。其后,在日“公测”(注:私服所谓的公测)前,将百度讨论日本游戏舰队Collection的贴吧舰队Collection吧从贴吧方面以70万人民币(疑似190万人民币)的价格买下,于日将硕果仅存的最后一名吧主撤职(吧主共三名,其余两名已于13日被撤职)。&/p&&br&&p&随后百度贴吧舰娘国服吧的小吧主athlon18成为舰队Collection吧的吧主。(该用户现如今已经从舰娘国服吧小吧主离职)&/p&&br&&br&&p&athlon18就任舰队Collection吧吧主后,广大舰队Collection吧的吧友十分愤怒,通过爆吧发本子的形式破坏舰队Collection吧的的环境,并且最终导致舰队Collection被全体禁言,从而迫使百度将贴吧重新交还用户。&/p&&br&&p&无独有偶,10月13日,百度钢琴吧突降官方吧主,这一做法虽然和此前舰队Collection吧的做法稍有区别,但是其实明眼人一看,就知道其实没什么区别,钢琴吧,
