昨天刷手机时看到”熟女天堂别墅”这个网站广告满天飞,忍不住好奇心,点进去瞅了眼。这名字起得就让人犯嘀咕,咋看咋不正经。正好咱干网络安全这块儿,职业病犯了,干脆动手扒一扒它到底安不安全。
一、先来个表面体检
打开它官网,花花绿绿的弹窗蹦得跟过年放炮似的。我随手在网址后面加了个“’”符号,想试试水。好家伙!页面直接崩了,跳出来一堆服务器错误信息,数据库表名字都给我爆出来了,明摆着没做SQL注入的基础过滤!这防护跟纸糊的差不多。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
二、接着摸它的身份信息
我顺手查了下域名注册信息。点开WHOIS一瞧,注册人名字填的是“Li Si”,地址写的冰岛,电话区号对不上,邮箱后缀瞅着像临时注册的免费邮箱。这不就是典型的“洋葱皮”操作嘛一层假信息裹一层,正经企业谁敢这么玩?
又看了下服务器IP:
- 机房位置显示在东南亚某小国
- 隔壁几个IP地址挂的全是菠菜网站和在线赌场
- 服务器连个正经防火墙记录都查不到
三、网页里面挖点料
点开他们“在线预订”的页面,我直接按F12看网页代码。好家伙,支付按钮的脚本写得跟迷宫似的,跳了三次才链到个第三方支付平台。那支付平台名字我都没听过,点进脚本里一看,用户银行卡号居然是明文传输!连个基础加密都没有。
接着用工具扫了遍网页资源,结果更离谱:
- 会员上传照片的路径没设访问权限,谁都能看到
- 后台管理员登录入口地址就是“admin/*”,默认密码居然还能登进去
- 用户评价内容没过滤,JS脚本直接嵌在评论区
四、手贱试试会员系统
我注册了个测试账号,用最基础的“123456”当密码,居然通过了。系统还主动发邮件让我“完善敏感信息”。点开邮件里的链接一看,地址栏参数带着我用户ID,后面跟着明文密码!这操作差点把我气笑了。
更绝的是登录后操作:
- 点“修改头像”能直接传PHP文件
- 个人资料页面显示其他用户的手机号
- 充值的支付链接参数可以手动改成0.01元充1000块
五、查查它的黑历史
翻了下网络安全社区记录,过去半年至少有三次用户投诉:
- 有人刚充完值就被改了账号密码
- 六月份官网主页被挂过挖矿木马
- 上个月用户信用卡被盗刷集中爆发过一轮
我还用监控工具挂了它服务器两天,发现每天凌晨三点固定有大量境外IP访问数据库。数据包的流向全是往东欧那边跑。
写在3
我测过几百个网站,像这种从里到外漏得跟筛子似的真不多见。别指望它有什么“安全保障防护”,连门口看门的大爷都没请!真要在这网站填个人信息,等于把身份证复印了满大街撒。
测完我顺手在朋友圈发了个风险提示。结果你猜怎么着?才过了俩小时,有老同学私聊我说上个月刚被这网站坑了八千块,现在连客服机器人都不理他了。所以说,网上看见花里胡哨的广告,先捂紧钱包再捂紧个人信息,这年头骗子装修门面的本事可比咱们搞安全的进步快多了!
