我的百度BAE相册被人SQL注入攻击

2012-06-09

今天打开我的百度BAE相册(http://1.mawenjian.duapp.com/),发现照片中多了一个cc1.php的文件。因为php文件不能正常显示的缘故吧,所以这个文件显得格外显眼。这个文件给我的第一感觉就是——程序被攻击了!

说句实在的,因为我从新浪SAE移植这个程序的时候就马马虎虎的,再加上原来的程序中存在的一些漏洞,所以被攻击得手是很正常的事情了。

从攻击的原理来推测,我认为十有八九是SQL注入攻击。因为我的百度BAE相册URL中有好几个地方是暴露参数的,再加上当时只注意功能的实现,没注意对传递参数的合法性进行检测,所以被SQL注入的可能性最大。

好在我的PHP程序是运行在百度BAE平台上的,可执行的PHP文件必须通过SVN方式才能上传;而支持上传的百度云存储空间呢,则不支持执行PHP程序。所以,虽然我的程序被SQL注入成功了,但是意义也不大。纵使其攻破了我的管理后台的用户名和密码,也没什么大不了的,反正里面也没什么东西。要说最大的损失,莫过于得到了我的百度云存储的AK和SK了。但是也没事,大不了我重置一下AK和SK。

不过令我惊奇的是,这样一个时常不更新的破相册程序,居然也有朋友感兴趣,看来口味确实够独特的。莫非看上了首页的PR=1?不想了…… 阅读全文 »

在百度BAE上跑了个相册程序

2012-04-22

利用三个晚上的时间,我把loo2k童鞋的SAE图床软件Migs修改了下,移植到了百度的BAE(Baidu App Engine)云平台上。我再给Migs加上了照片分类,于是一个相册程序就初具雏形了。

修改后的Migs,程序跑在百度的BAE(Baidu App Engine)上边,照片则保存在传说中的多达1T容量的百度云存储中(只是目前我只有20个G的权限),那速度,岂是一个爽字了得?

看热闹的同学请猛击http://mawenjian.duapp.com查看。

百度BAE(Baidu App Engine)出现在开放云平台

2012-03-22

首先做个更正,我在上一篇文章《百度云平台的虚拟机服务允许申请啦!》提到百度的虚拟机允许申请了,但这种说法并不严密。昨天百度云平台做了更新说明,目前虚拟机服务仅对百度核心开发者开放,暂不接受邮件申请。另有消息称,百度的虚拟机服务可能要收费。

言归正传。本来有传言说BAE将于本月24号正式推出,但我刚才登陆百度云平台后发现,“云环境”(即百度BAE)的导航菜单已经由黑白色变成了彩色,并且赫然出现在菜单栏中的第一个。这个“云环境”其实并非新生事物,原先属于百度开放平台,不过百度只开放给3级以上的开发者使用。

每个开放云平台用户可以建立10个BAE应用。BAE应用采用yourname.duapp.com形式的二级域名,目前尚不清楚是否可以绑定独立域名。BAE目前支持2种语言,即PHP和Java语言。不过Java环境目前处于公测阶段,使用的话需要发邮件申请开通。

百度BAE分为2种执行环境,即“公共集群”和“私有集群”。应用默认运行在公共集群,共享计算资源。公共集群对每个应用的流量、使用的资源有统一的限制。对于超过公共集群限制的应用,可以使用私有集群。私有集群中,应用独占资源,并且可以通过不断扩容来应对增长的流量。私有云的基本单位是执行单元。私有集群现阶段仅对百度核心开发者开放,暂不接受邮件申请。

在代码管理方面,百度BAE和新浪SAE有些类似,都是采用Web管理与SVN管理相结合的方式,只不过BAE不支持SDK方式的代码部署罢了。对于每个BAE应用,可以部署20个版本。百度这一点比SAE做的好些(SAE是10个版本)。在代码空间方面,百度很大方,每个开发者的存储空间为100G,每个应用的存储空间为10G。 阅读全文 »