Dyhung's Blog

說實話，我很不喜歡Hack這個動作，感覺是專搞破壞的事情。

但，也不能不承認，偶然發生的一些Hack事件，會帶給資訊人極大的成就快感。

我嘗過幾次這種快感，也知道那種興奮的程度，慶幸的是我並沒有因為這類的成就而迷失自己的方向。

Google強大的力量是眾所皆知的事情，而它快速的產品開發週期更是令人瞠目結舌。不得不佩服他們背後的研發團隊，投入的心力一定非常大量。

光是Google Code Search就覺得很嚇人了，它如果用來做正面的事情，相信對於開發程式的速度可以增加數倍。某些語法你可能忘了怎麼使用，此時你只要把關鍵字一丟加上語言名稱就能找到你想看的example，這樣就能使出傳說中的C/P程式開發法(就是複製貼上開發法啦，M$派的小朋友都是這樣長大的，當然我也是，:p)。

但剛剛說的是它的本意，方便開發人員做事。如果你是惡意要利用它來找漏洞呢？恭喜你，多了一個好工具。只要你有一點程式的概念，例如知道JSP的設定檔及‧NET的設定檔叫啥名字(Web.xml、Web.config)，你就能搜到某些網站不經易留出來的設定資料(至於為何會留出來，大部份應該是開發人員懶惰不小心留下的洞，ex：分享自己的web.xml設定而忘了刪掉)，只要是這種狀況，站台被Hack就不是難事了。

當然還得看你的PW是怎麼處理的，像網站開發的動作中，DB的ConnStr很多人都會寫在這類的設定檔中，以方便統一管理，但這樣只要這個檔不安全，那麼ConnStr就等於攤在陽光下，任人宰割，感覺真是有點可怕。

只能說，有了Google之後，做什麼事都得再多用點心，否則怎麼死的都不知道。

Code Search FAQ

Eclipse Google Code Search Plugin(M$DN??)

O'Reilly Google Hacks 試讀章節

而這本書已經出到第3版了，感覺沒去看一下會跟社會脫節，該推薦圖書館買這本書了，哈。