为什么我开始这个实践
上周刷手机时,看到论坛里有人讨论催眠贵族游戏官网的安全问题。有些玩家抱怨账号被盗了。我心里咯噔一下,决定去试试这个官网到底靠不靠谱。
准备工作:搭好架子
我先下载了催眠贵族游戏的安装包。打开电脑,安装过程没啥问题。然后打开官网登录页面,试了试注册新账号。输入邮箱和简单密码,按了确认按钮。几分钟后,收到一封验证邮件。点开链接激活成功。这里感觉还稳当。
实际测试:登录和游戏过程
第二天,我登录账号开始玩。输入用户名和密码,系统没提示错误。玩到一个章节时,提示要绑定手机号。我随便填了个虚拟号码,居然成功了。玩了两小时,遇到支付环节,想买个道具。点了购买按钮,跳出支付窗口。填了信用卡信息测试,支付页面没加密标志。我赶紧取消订单。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
接着试密码重置功能。点进官网页面,输入邮箱找回密码。邮箱收到链接后改了个新密码。但发现一点不重置密码的邮件里,链接直接带着旧密码片段。容易被人截取偷看。
- 注册账号没卡顿,速度可以
- 登录流程简单,但没双重验证
- 支付时有风险,没安全锁
- 重置密码暴露信息,设计粗糙
问题发现:遇到漏洞
玩了三天,我模拟黑客行为。故意输错密码多次,看看会不会锁定账号。系统只弹出警告消息,但账号没被封。这点挺危险。另外玩游戏时页面弹窗广告一堆广告跳出来,点进去后浏览器有异常活动。查了浏览器历史记录,发现有不明链接自动重定向。
我还模拟玩家数据泄露。用工具扫描官网后台,发现输入的用户名会被直接显示在网址上。我换了俩设备测试,结果一样。这要是有人偷窥屏幕,就完蛋了。
实现:安全心得报告
整个实践下来,官网整体算基本能用。但安全问题一堆。支付功能没加密容易泄露卡号,密码重置机制太随意,还容易遭广告侵袭。玩家反馈群里不少人说账号被黑了,建议别用真实个人信息。
一步,我卸载了游戏清理痕迹。实践结束。整体打分,只能给个勉强及格。游戏官网不是毒蛇猛兽,但得多个心眼。
