黑客开源数据库（csdn博客）

本文目录一览：

• 1、为什么黑客都只要比特币
• 2、黑客是怎么渗透开源项目的？
• 3、物联网黑客：如何再次打破智能家居
• 4、请问下什么是开源？ 本人比较图
• 5、DBUnit进行单元测试为什么只能同时测15个方法
• 6、为什么说黑客都用LINUX

为什么黑客都只要比特币

首先来了解一下比特币的安全性：

比特币不依靠特定货币机构发行，它依据特定算法，通过大量的计算产生，比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为，并使用密码学的设计来确保货币流通各个环节安全性。

再来了解一下比特币的稀缺性：

比特币与其他虚拟货币最大的不同，是其总数量非常有限，具有极强的稀缺性。该货币系统曾在4年内只有不超过1050万个，之后的总数量将被永久限制在2100万个。

最后来了解一下比特币的实用性：

比特币可以用来兑现，可以兑换成大多数国家的货币。使用者可以用比特币购买一些虚拟物品，比如网络游戏当中的衣服、帽子、装备等，只要有人接受，也可以使用比特币购买现实生活当中的物品。

黑客有了这样的货币，何愁被查被盗呢？何愁贬值呢？何愁买不到东西呢？

个人认为这就是为什么黑客都只要比特币的原因。

黑客是怎么渗透开源项目的？

恶意黑客参与了小型开源软件的开发，在自身关键应用中包含了这些开源软件的公司企业就可能面临遭遇漏洞利用的风险。安全专家指出，这些项目的开源本质和代码的广泛应用，对企业造成了切实的威胁。

一旦潜入开源项目，罪犯就有多种下手方式可供选择，但必须动作够快。因为无论是后门键盘记录器还是某种木马，如果不是动手够快，或者真的非常非常隐蔽，用不了多久就会被 “众人之眼” 揪出。

网络罪犯之所以热衷于黑开源项目，正是由于开源项目兼具灵活性和可用性的特点，能为黑客行动的开展带来大量机会。真可谓众所周知的攻击途径了。而且开源项目被黑概率很可能比大众认知的要高得多。安全公司 Checkmarx 安全研究主管 Eran Yalon 就表示：

几乎所有开源项目都要求贡献者的工作要经过项目其他成员审核才能并入项目。审核层级随贡献者个人声誉而递减，贡献者受信度越高，则审核层级越少。尤其是在大型知名开源项目中，比如主流 Linux 发行版，整个审核过程非常精细完备，也有充足的人力资源持续执行这一规程。项目越小，则可供保障安全的资源就越少。所以，小型项目被黑的情况也就更常见了。

物联网黑客：如何再次打破智能家居

随着科技的发展，越来越多的用户开始使用物联网设备了，而且用户在购买这些设备时，往往会选择功能更先进且更丰富的产品。但是从安全社区的角度来看，我们并没有对这些逐渐“渗透”进我们生活的设备给予足够的“关怀”。

虽然近些年来已经有很多安全研究人员对联网设备进行了安全分析，但是安全威胁仍然一直存在，而这些东西肯定会让用户处于安全风险之下。今天，我们将选择一款智能集线器进行分析，这种设备具备多种用途，比如说控制家庭环境中的传感器和设备、用于能源或水利管理、安全监控或用于安全系统之中。

这种小型设备可以从所有与之相连的设备中获取信息，如果当前环境中出现了意外情况，它将会通过手机短信或电子邮件来提醒用户。有趣的是，它还可以连接到本地紧急服务，并根据情况向用户发送警告信息。所以说，如果某人能够入侵这种智能家庭系统并接管家庭控制器的话，这不仅对用户来说是可怕的噩梦，而且还会影响紧急服务的功能。

在我们的分析过程中，我们发现其中存在多个逻辑漏洞，而这些漏洞将成为攻击者可以使用的攻击向量。

物理访问

首先，我们需要检测攻击者从网络外部所能利用的漏洞。我们很容易便从网上找到了这款集线器的固件，而且还可以直接下载。所以说，任何人都可以直接对固件文件进行分析，甚至修改固件内容。

我们还发现，其中root帐号的密码存储在一个隐藏文件中，并且使用了DES算法进行加密。可能有些同学知道，DES加密算法并不安全，而且很容易破解。因此，攻击者可以通过暴力破解的方式获取到密码哈希，并破解出‘root’帐号的密码。

为了使用root权限访问设备并修改文件，或者执行恶意命令，物理访问是必须的。

我们拆开了设备的外壳，但这并不是所有攻击者都能够做到的。不过我们的进一步分析表明，我们还有其他的方法来获取到设备的远程访问权。

远程访问

在对集线器进行个性配置并检查所有连接设备时，用户可以选择使用移动端App，或通过Web页面来完成。当用户设置完成之后，所有的设置信息都会封装到config.jar文件中，而集线器将会下载并执行这些配置。

但是我们可以看到，config.jar文件是通过HTTP发送的，而设备识别符使用的是设备的序列号。所以，攻击者可以使用任意序列号来发送相同的请求，并下载配置文件。可能有的同学会觉得序列号是唯一的，但是开发人员表示：序列号并没有受到很好的安全保护，而且可以通过暴力破解的形式获取到。为了获取序列号，远程攻击者可以发送特制的伪造请求，并根据服务器端的响应信息来判断当前序列号是否已在系统中注册。

除此之外，我们的初始研究也表明，很多用户会在网上论坛中讨论他们的设备问题，或在社交网站上发布集线器的照片，这些都有可能暴露设备的序列号，就算攻击者无法破解出序列号，他们也可以通过社工技术来尝试一下。

在分析config.jar文件时，我们发现其中包含了设备的登录名和密码，而这些信息足够攻击者通过Web接口来访问用户帐号了。虽然文件中的密码经过了加密处理，但是现在有很多开源工具或开源密码数据库可以帮助攻击者进行哈希解密。最重要的是，用户在设置密码时，设备并不会要求用户输入复杂密码（没有长度和英文数字混合的要求），这从一定程度上就降低了密码破解的难度。

在我们的实验过程中，我们成功访问了目标用户的智能家庭系统，我们不仅获取到了所有的配置（包括IP地址）以及传感器信息，而且还可以修改这些数据。除此之外，jar文件中还包含了用户的隐私信息，因为用户需要上传自己的手机号来接收警告和通知。

因此，攻击者只需要生成并向服务器发送一些伪造请求，他们就有可能远程访问目标用户的智能家庭系统，而这些系统并没有采用任何的双因素身份验证。这样一来，攻击者就可以控制目标用户的“整个家”，比如说开灯关灯、打开水龙头、甚至是打开家门等等。这样看来，智能家庭生活很有可能会成为你的一个噩梦。

注：我们已经将漏洞的详细信息上报给了相关厂商，不过这些漏洞现在还没有被修复。

阳光总在风雨后

除了智能集线器之外，我们还对一款智能灯泡进行了分析。虽然这种产品没有非常严重的安全漏洞，但还是有不少安全问题让我们感到非常惊讶。

智能灯泡可以连接WiFi，随后用户便能够通过移动App来控制它了。因此，用户需要下载移动App（Android或iOS），打开灯泡，连接到灯泡所创建WiFi热点，并给灯泡提供本地WiFi网络的SSID和密码。

通过App，用户可以开灯或关灯，设置定时器，或修改灯光的亮度和颜色。而我们的研究目标是为了弄清楚攻击者如何利用智能灯泡中的漏洞来获取本地网络的访问权。进行了多次尝试之后，我们通过移动端应用获取到了灯泡的固件，而有趣的是，灯泡并不会直接跟移动端应用进行交互。实际上，灯泡和App都需要连接到一个云服务，并通过云服务来进行交互。

我们发现，灯泡会向服务器发送固件更新请求，并通过HTTP协议下载更新文件，这明显是不安全的。如果攻击者处于同一网络，中间人攻击就变得轻而易举了。

通过固件侦查以及闪存数据提取技术，我们不仅访问到了固件文件，而且还获取到了用户数据。不过进一步分析表明，设备或内部网络中并没有任何的敏感数据。不过，我们发现了目标灯泡之前所连接过的所有WiFi网络的凭证，这些信息会永久存储在设备的闪存中，而且没有经过加密，即使按下了“reset”按钮也无法将其清除。

以上由物联传媒转载，如有侵权联系删除

请问下什么是开源？ 本人比较图

开放源码软件运动是计算机科学领域的一种文化现象，源自黑客对智慧成果共享、自由的追求。开源运动发展到现在，这种能够积极促进人类文明发展的文化已经渗透到信息、教育、健康等领域，融入了哲学范畴。

开放源码运动

开放源码运动的史前史包括了整个Unix，自由软件和黑客文化的历史。“开放源码” 一词来源于1997年春天在加州的Palo Alto召开的一个所谓“纯粹程序员”参与的战略研讨会。参加会议的有Todd Anderson, 来自Foresight研究所Chris Peterson， 来自Linux国际协会的John Hall 和Larry Augustin，有硅谷Linux用户协会的Sam Ockman，以及Eric Raymond。 它们关系的是寻找一种方式，来像以前躲避自由软件的人们来推广这种思想，自由软件和自由软件基金会的反商业信条让很多人对自由软件敬而远之。在Eric Raymond的坚持下，他们一致通过了用新的术语：OpenSource（开源软件）来描述他们所推进的软件。

1998年2月23日网景宣布它将发布Navigator浏览器的源代码成为开源软件发展历史的转折点，经过一番激烈争辩，“开放源码”取代“自由软件”成为黑客们对开放原始码软件的代名词。

编辑本段开源软件与自由软件

Linus Torvalds创建Linux以来，开源思想在软件界可谓盛极一时。那么，什么是开源呢？简单来说，"开源软件"就是源代码开放的软件。

由于开源思想源于计算机软件界，所以发展至今，计算机类开源产品的种类、数量都是很多的，使用也比较广泛。如在操作系统领域，Linux在服务器市场就占据了相当大的份额，并持续扩张，IBM公司销售的薄片式服务器中大约有75%就运行着Linux操作系统；Web方面，全球有百分之五十以上的Web服务器在使用开源的Apache系统；数据库，有针对互联网应用的轻量级数据库MySQL，也有针对大型应用的PostgreSQL，中国最大的门户网站Sina的后端数据库就采用了开源的 MySQL数据库软件。其他还有各种非常流行的软件，如GNU的编辑软件Emacs、Linux的图形处理界面Xfree86、排版软件TeX等等，都获得了广泛的应用。

开源被很多黑客认为是计算机科学的一种文化复兴，是计算机科学真正成为科学并能够与其他科学一起同步发展的手段。开源发展到今天，不仅仅有数以万计的黑客在积极地参与，像IBM、HP、CA、SUN等一些软硬件厂商也在加大在开源方面的投入并积极向开源社区贡献优秀开源软件，因为开源催化了软件业快速向服务也蜕变的速度并为IBM这样的硬件和集成服务提供商提供了新的商机。

编辑本段开源软件与许可证授权

获得开放软件源码是免费的，但对所获取源码的使用却需要遵循该开源软件所作的许可声明。开源软件常用的许可证方式包括BSD、Apache Licence、GPL等，其中GNU的GPL被最多的开源软件组织所采用。开源软件许可模式主要分为两类：一类是copyleft，一类是non-copyleft。copyleft许可，比如GNU GPL类型，坚持认为在开源软件基础上作修改后的软件，仍旧是自由软件。

自1998年2月美国OSI成立之后，经其正式认可的开源许可类型已达30种（2002年1月止）。同时，在GNU工程/自由软件基金会的"自由软件许可"页面上包含了15种与GPL兼容的自由软件许可、2种文档许可以及总共42个软件许可再加上4种非软件许可。

DBUnit进行单元测试为什么只能同时测15个方法

从测试过程的角度来说我们也可以把数据库测试分为：

系统测试

传统软件系统测试的测试重点是需求覆盖，而对于我们的数据库测试同样也需要对需求覆盖进行保证。那么数据库在初期设计中也需要对这个进行分析，测试。例如存储过程，视图，触发器，约束，规则等我们都需要进行需求的验证确保这些功能设计是符合需求的.另一方面我们需要确认数据库设计文档和最终的数据库相同，当设计文档变化时我们同样要验证改修改是否落实到数据库上。

这个阶段我们的测试主要通过数据库设计评审来实现。

集成测试

集成测试是主要针对接口进行的测试工作，从数据库的角度来说和普通测试稍微有些区别对于数据库测试来说，需要考虑的是数据项的修改操作、数据项的增加操作、数据项的删除操作、数据表增加满、数据表删除空、删除空表中的记录、数据表的并发操作、针对存储过程的接口测试、结合业务逻辑做关联表的接口测试。

同样我们需要对这些接口考虑采用等价类、边界值、错误猜测等方法进行测试。

单元测试

单元测试侧重于逻辑覆盖，相对对于复杂的代码来说，数据库开发的单元测试相对简单些，可以通过语句覆盖和走读的方式完成。

系统测试相对来说比较困难，这要求有很高的数据库设计能力和丰富的数据库测试经验。而集成测试和单元测试就相对简单了。

而我们也可以从测试关注点的角度对数据库进行分类：

功能测试

对数据库功能的测试我们可以依赖与工具进行：

DBunit：一款开源的数据库功能测试框架，可以使用类似与Junit的方式对数据库的基本操作进行白盒的单元测试，对输入输出进行校验。

QTP：大名鼎鼎的自动测试工具，通过对对象的捕捉识别，我们可以通过QTP来模拟用户的操作流程，通过其中的校验方法或者结合数据库后台的监控对整个数据库中的数据进行测试。个人觉得比较偏向灰盒。

DataFactory：一款优秀的数据库数据自动生成工具，通过它你可以轻松的生成任意结构数据库，对数据库进行填充，帮助你生成所需要的大量数据从而验证我们数据库中的功能是否正确。这是属于黑盒测试。

数据库性能虽然我们的硬件最近几年进步很快，但是我们需要处理的数据以更快的速度在增加。几亿条记录的表格在现在是司空见惯的，如此庞大的数据量在大量并发连接操作时，我们不能像以前一样随意的使用查询，连接查询，嵌套查询，视图，这些操作如果不当会给系统带来非常巨大的压力，严重影响系统性能。

性能优化分4部分：

1、物理存储方面

2、逻辑设计方面

3、数据库的参数调整

4、SQL语句优化

性能测试：

我们如何对性能方面进行测试呢，业界也提供了很多工具通过数据库系统的SQL语句分析工具，我们可以分析得到数据库语句执行的瓶颈，从而优化SQL语句。

Loadrunner：这个不用多说，我们可以通过对协议的编程来对数据库做压力测试。

Swingbench：(这是一个重量级别的feature，类似LR，而且非常强大，只不过专门针对oracle而已)数据库厂商也意识到这点，例如oracle11g已经提供了real applicationtest，提供数据库性能测试，分析系统的应用瓶颈。

还有很多第三方公司开发了SQL语句优化工具来帮助你自动的进行语句优化工作从而提高执行效率。

安全测试：

软件日益复杂，而数据又成为了系统中重中之重的核心，从以往对系统的破坏现在更倾向于对数据的获取和破坏。而数据库的安全被提到了最前端自从SQL 注入攻击被发现，冒失万无一失的数据库一下从后台变为了前台，而一旦数据库被攻破，整个系统也会暴露在黑客的手下，通过数据库强大的存储过程，黑客可以轻松的获得整个系统的权限。而SQL的注入看似简单缺很难防范，对于安全测试来说，如何防范系统被注入是测试的难点。

业界也有相关的数据库注入检测工具，来帮助用户对自身系统进行安全检测。

对于这点来说业界也有标准，例如ISO IEC 21827，也叫做SSE CMM 3.0，是CMM和ISO的集成的产物，专门针对系统安全领域的另外一方面，数据库的健壮性，容错性和恢复能力也是我们测试的要点

我们也可以发现功能测试，性能测试，安全测试，是一个由简到繁的过程，也是数据库测试人员需要逐步掌握的技能，这也是以后公司对数据库测试人员的要求。

为什么说黑客都用LINUX

因为linux是一种自由和开放源代码的类UNIX操作系统，任何人都可以自由使用、完全不受任何限制。

Linux是一套免费使用和自由传播的类Unix操作系统，是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。

它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想，是一个性能稳定的多用户网络操作系统。

用户可以通过网络或其他途径免费获得，并可以任意修改其源代码。这是其他的操作系统所做不到的。正是由于这一点，来自全世界的无数程序员参与了Linux的修改、编写工作，程序员可以根据自己的兴趣和灵感对其进行改变，这让Linux吸收了无数程序员的精华，不断壮大。

Linux支持多用户，各个用户对于自己的文件设备有自己特殊的权利，保证了各用户之间互不影响。多任务则是现在电脑最主要的一个特点，Linux可以使多个程序同时并独立地运行。