昨天刷手机看到庭树沐年官网的广告,铺天盖地宣传“安全无忧”,搞得我心痒痒想试试。但脑子里总有个声音在问:这玩意儿真靠谱吗?毕竟现在网上骗子那么多,银行卡绑上去万一被掏空咋整?干脆自己动手扒一扒它底裤!
第一步:装模作样当用户
我先用旧手机号注册了个账号。好家伙,填资料时发现它能关联微信登录,省得记密码倒挺贴心。注册完立马弹出个窗口,非要我绑手机验证,不绑不给用核心功能——这点我倒觉得还行,至少不像某些野鸡平台随便乱注册。
接着我点进个人中心,假装要充会员。付款页面跳转到支付环节时,我特意卡在输银行卡号的步骤,切出去开了抓包工具。结果发现交易链接居然是明文的HTTP!吓得我手一抖,这年头还敢不用HTTPS?反手给它记在小本本上重点关照。
第二步:手贱乱戳找破绽
我琢磨着试试经典老套路,在密码框敲了段 <script>alert('完蛋')</script>。提交那秒心脏砰砰跳,结果页面真弹出个警告框!好嘛XSS漏洞实锤。更绝的是顺手在地址栏参数后面加了句 'or 1=1--,后台管理页面直接给我开了后门,连管理员账号密码都看得一清二楚...
最骚的操作来了:我清空购物车准备假装付款,故意把订单金额改成0.01元。手速飞快截住发给服务器的数据包,把价格改成-9999提交。页面卡了三秒,居然返回“支付成功”!当时血压直接飙升,这漏洞够薅垮十个平台!
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
第三步:直接抄家伙开干
连夜掏出自制监控脚本挂上服务器,对着官网接口狂轰滥炸:
- 密码框连续灌了500次错误密码,账号居然没冻结!
- 用脚本伪造了1000个不同IP同时撞库,后台日志屁都没放一个
- 往图片上传接口塞了.exe文件,系统居然当宝贝存进去了
折腾到凌晨三点,监控警报哔哔狂响——服务器内存直接被我的脚本吃到99%,官网页面彻底白屏。得,这防护措施跟纸糊的差不多。
硬核对线
第二天我直接把漏洞清单拍在客服对话框。前三个客服只会复读“请您放心使用”,气得我甩出管理员密码截图。五分钟内技术主管亲自打电话,开口就喊大哥:
- 承认用外包团队搭的框架
- 安全测试就做了个登录按钮点击测试
- 防火墙规则三年没更新
我盯着他们当天加急补了HTTPS,支付接口加了金额校验。现在官网支付页面血红大字写着“正版防篡改”,笑死,那是我逼他们连夜焊死的校验代码!
现在能拍胸脯说它安全了——毕竟每个洞都被我拿水泥堵严实了!
