今天早上出门的时候想写些XSS攻击的实例提高一下大家对它的兴趣,结果,一到公司收到一堆邮件,然后就是一阵忙。。。忙了一天总结出来一句话,任何非技术人员的文档都应该先格式化,然后再用业务相关的程序处理,好吧,如果遇到他们的笔误就只好没办法了。
事情还得从昨天下午说起,主管让我清理一下有管理员权限的用户,一类是已经离职的人员,一类是没有使用公司邮箱的管理人员,由于我们的用户表中数据量3000W+,除了使用非公司邮箱的管理员,查出来的使用公司邮箱的管理员有1000+,如果给这1000+发邮件,通过大家的回复来确认,那工作还真不小,于是向HR求助,申请拿到当前在职人员的邮箱和入职时间,入职时间主要是用于确认用户邮箱的有效性,如果A用户是2013年6月7号入职,而拥有管理员身份却是在2010年1月6号,那A用户的邮箱肯定是重新启用的,应该删除其管理员身份。
收到HR给出的excel表格,只有两列,一列是邮箱,一列是入职时间,OK,动手吧,先把excel转成文本,再把2013/01/01,2010-1-1,2011-05-01,2012/3/1统一成一个格式,好在python处理这些都非常简单,有了两列文本后,写个脚本跑一下,找出来400+失效的管理员用户,再写个脚本拼好SQL语句,然后commit,最终把统计结果发给主管,"系统中管理员共XXXX个,其中未使用公司邮箱的XXXX个,使用了公司邮箱的XXXX个,这xxx个中现在公司邮箱没有的有xxx个,有邮箱但入职时间晚于注册时间的有xx个【应该是重新启用的邮箱】,正常的管理员xx个。"一切看起来非常完美,OK,下班回家。
过了一个安静的晚上,早上到了公司开始有人反映管理后台登录不了,我先找到备份帮他恢复,然后去查原因,这时发现HR给的表格中,有的邮箱里带了空格!!!带空格的用户大约占了1%,纠正之后又有人反映还是登录不了,于是又是一通查呀查,最终发现邮箱帐户有的多拼了个h,有的少拼了个h,好吧,汉语拼音没学好的同事,让我对着程序DEBUG了几个小时。。。
最终,早上想好的XSS攻击只好等下节写了,这次只能再写些概念性的,大家忍耐些,下节就有料了。。。