聽聞嘀嗒團團購業(yè)務月底就結束了，相比之前的24券， 這確實不算一件值得惋惜的事情， 畢竟創(chuàng)始團隊套現(xiàn)了，金主又不差錢。 按照江湖規(guī)矩，還是要八一下嘀嗒團的事情。

　　嘀嗒團成立的時候，創(chuàng)始團隊是谷歌出來的一批人，剛開始也沒引起黑客的注意，因為用的并不是最常見的模板(當時85%以上的團購網(wǎng)站都在用一款叫“最土”的開源軟件，該軟件創(chuàng)始人戴書文也是我朋友，后來被美團收購)。 我大概是在2010年夏天拋出了最土的一個盲注漏洞的技術細節(jié)(后來得知之前有一個黑客發(fā)表過同樣的漏洞，但是并未引起注意)， 隨后經(jīng)各種渠道流出，被一幫無腦的入侵流利用起來，引起了大批量網(wǎng)站管理員密碼被改， 當時這個軟件又沒有快速恢復管理員密碼的好辦法， 當時猛買， 24券等等全數(shù)中招，在這個情況下戴書文立刻上了一個補丁，并且讓各站長下載了一個密碼恢復腳本。

　　對于這波沖擊，這些網(wǎng)站是不吃虧的，因為漏洞一旦公開，就會帶來大面積的修復，對于這些創(chuàng)業(yè)者來說，損失其實不大， 只不過大多網(wǎng)站都沒有做好安全善后工作， 不僅有大量存留的后門(webshell)，漏洞還沒有被完全修復。 這里做得最好的是猛買網(wǎng)， 第一次被黑后立刻醒悟，直接從源頭制止了盲注。然而沒過多久， 嘀嗒團換了模板，就如同趙傳那首歌的歌詞一樣——立刻成為了獵人的目標。

　　這個漏洞該利用一個magic_quote被迫被關閉的情況，做了一個sql截斷。攻擊者可以用盲注獲得用戶表的內(nèi)容，包括管理員的郵箱，用戶名，和加密后的密碼。 密碼是salt + md5， 固定鹽，跑表也能破， 但是還有更簡單的方法， 就是偽造cookie直接進入后臺， 即便進不了也沒事，可以使用密碼找回功能，構建一個修改密碼的url， 這個url里面的加密參數(shù)也可以被盲注出來。 光是有后臺還沒用， 后臺有一個通過修改模板拿shell的辦法，shell拿到基本都能提權(提不了權也不影響拖庫等)，一套組合拳下來服務器就整個被端了。

　　不過有很多玩黑產(chǎn)的(號稱黑客)并不徹底用技術，而是直接選擇去社工管理員郵箱， 這里又是八仙過海，什么齷齪的辦法都能想得出來。 我記得24券杜一楠郵箱被人貼出來是aarxx.xx@gmail.com(xx代替了缺失的字母，不過很好猜)， 嘀嗒團的超級管理員則是一個姓段的員工， 也是gmail，估計也被社工了不少， 如果當事人有幸能看到這篇文章的話，應該能補充一下當時收了多少密碼取回郵件， 都是那一幫低端黑客弄的。

　　而我呢?我在“呵呵”。 呵呵的原因是那個漏洞修復的方式實在太歡樂了， 竟然只過濾了空格， 要知道過濾攻防可是黑客的基本功啊， 于是select * from user 不能用了，但是select(*)from(user) 就用得好好的， 即便括號被封了還可以用/**/ 這樣的注釋插入。 據(jù)說后來like團 偷偷過濾了幾個關鍵字，但是依然被繞過， 差點把我八塊腹肌都笑出來——你知道問題出在這還不修復地干脆點? 跟入侵者過家家嗎? 雖然我身在異國他鄉(xiāng)，但是可以很明顯感受到華麗地暴風雨就要來了。

　　到了2011年，團購進入了一個爆發(fā)年，京東團購也用了最土的模板， 結果自然不說了(好在后來改了也換了)， 去哪兒的團購也是最土，不過貌似很快就改了登陸方式，我沒有仔細研究，驢媽媽也是類似的情況。 不過2011年做得稍微有點規(guī)模(日訂單1萬多)的團購網(wǎng)站都在拼命融資， 這下黑產(chǎn)的人笑得開心啊。 很多做名鞋庫等公司飛單的黑產(chǎn)外圍從業(yè)者也加入了這場大洗劫， 還有一些更為狗血的八卦如阿丫團事件，細節(jié)就不說了。 我記得走秀網(wǎng)幾次宣布融資還是跟ebay茍且的新聞出來的時候， 很多江湖傳言一個做黑產(chǎn)代發(fā)貨的老板豪門夜宴感謝美帝送錢來了。 米奇網(wǎng)宣布融資的時候，估計黑產(chǎn)業(yè)者比公司員工還要興奮。

　　2011年下半年還有一件事，讓我很沒面子的，就是最土又暴露了一個大漏洞，這個漏洞的利用很簡單，就是用火狐或者chrome，在input name = username的時候改成username[=1 or true#]，這樣成了一個數(shù)組，在build query的時候直接貼后面，就按照超級管理員的身份判定登錄了。 這招好強大啊， 好犀利啊， 好炫麗啊! 尼瑪我在那里要死要活搗鼓什么盲注啊，弱爆了有木有?這個技術細節(jié)的泄露下導致更大規(guī)模的黑產(chǎn)，但是也為后來雙輸埋下了伏筆。

　　這個漏洞被大規(guī)模公開還是在360， 直接給出了修復手法，讓眾多站長禁止該表單提交的變量為數(shù)組。 好處就是解決了很多低端小玩家，拖延了大家的存活時間。 壞處則很明顯， 盲注流被保存了下來。

　　黑產(chǎn)由于良莠不齊， 像24券這樣的容易忽視的， 以及嘀嗒團這樣的只是簡單對付一下的(嘀嗒團在烏云被爆過幾次漏洞，但是廠家直接忽視，偷偷修復)，自然就被大魔王和小鬼一起進來了， 由于小鬼不太懂游戲規(guī)則，不尊重生態(tài)， 太貪婪， 導致最后大家都沒飯吃， 后來24券倒下的時候，整個電商黑產(chǎn)從業(yè)者依然興致勃勃的搞其他網(wǎng)站，沒有哪怕一丁點的反思。 而整個團購網(wǎng)站覆蓋多少用戶呢? 去重可以有幾千萬之多， 也就是黑產(chǎn)早已經(jīng)擁有了幾千萬具有付費能力的用戶， 電話詐騙的直接一個電話過去： 您好，請問是xxx嗎? 我是xx團的， 請問您在上個月10號消費了xxx， 對嗎? 之后就開始各類詐騙，這樣的玩法基本上覆蓋了整個女性消費b2c和團購(我還沒聽說過哪家化妝品幸免的)。

　　2012年到了這個行業(yè)最瘋狂的時候， 因為洗牌了。 洗牌的結果就是老板要開始卷款跑路， 小兵也在A公司的錢(公司不發(fā)工資了，我自己想辦法黑錢)，于是這幫吸血鬼都在最后時刻把還沒用掉的熱錢榨取干凈， 通常這些公司現(xiàn)金流都不錯，因為從用戶手上收錢是即時到帳，但是跟商家結款是有一個回款期的，結果就是等商家上門的時候很可能已經(jīng)人去樓空了。

　　這占據(jù)了大半個行業(yè)的悲劇，根源還是在于互聯(lián)網(wǎng)創(chuàng)業(yè)公司安全意識過于薄弱，整個就是一個宿主， 最后垮掉是因為寄生蟲太多， 而垮掉后，這些寄生蟲也就消停了， 所以我前面說了是一個雙輸。 但是寄生蟲并沒有死掉， 他們還在別的地方潛伏著，繼續(xù)等著下一個機會。 這個機會也許就是最近熱門的互聯(lián)網(wǎng)金融，Mt. gox就是一個很好的案例。