今天跟大家唠唠我最近搞的一个小玩意儿,一个看起来挺正经,实际上漏洞百出的女性游戏官网。
一开始接到这个活儿的时候,我心里就咯噔一下。为因为我对女性游戏这块儿了解不多,怕做出来的东西不伦不类。但是没办法,甲方爸爸给的钱实在太多了,而且我这人又喜欢挑战,硬着头皮也得干!
先是花了两天时间去了解市面上比较火的女性游戏,看了不少攻略和测评,也跑去B站上看了些实况视频。别说,还真让我发现了点门道。女性玩家对游戏的细节、剧情和人物设定要求特别高,不像咱们糙老爷们,能玩就行。
然后就开始着手搭建官网。前端用的是烂大街的Vue,后端是Java SpringBoot。服务器直接租了个阿里云的ECS,数据库用的MySQL。这些都是我的老伙计了,用起来得心应手。
一开始还挺顺利的,页面很快就搭起来了,看着也挺漂亮,粉粉嫩嫩的,符合女性玩家的审美。内容也填充了不少,什么游戏介绍、角色介绍、攻略心得之类的,应有尽有。
但是,我这人有个毛病,就是喜欢瞎折腾。总觉得这么简单的东西,肯定有漏洞可以挖。于是我就开始了自己的渗透测试之旅。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
先是扫了一下端口,发现开了好几个没用的端口,直接关掉。然后开始测试SQL注入,结果一试就中!在角色介绍的搜索框里,随便输入一些payload,就能把数据库里的数据给dump出来。我靠,这可太刺激了!
赶紧修复了这个漏洞,用上了PreparedStatement,防止SQL注入。然后我又开始测试XSS,结果又中招了!在评论区里,随便输入一些HTML代码,就能弹窗。这可不行,得赶紧修复。
这回我学乖了,用上了ESAPI,对用户输入进行严格的过滤和转义。搞完这些,我以为就万事大吉了。结果,我又发现了一个更严重的漏洞:任意文件上传!
在上传头像的地方,我随便上传了一个webshell,就能直接控制服务器了。我靠,这可太可怕了!赶紧修复了这个漏洞,限制上传文件的类型,并且对上传的文件进行扫描。
经过这一番折腾,我发现这个官网简直就是个筛子,到处都是漏洞。幸好是在上线之前发现了,不然就等着被黑客爆破!
这回经历也让我深刻体会到,安全无小事。即使是看起来很简单的网站,也可能存在各种各样的安全漏洞。作为开发者,一定要时刻保持警惕,不断学习新的安全知识,才能保护好自己的网站和用户的信息。
这回搞这个“脆弱的女性游戏官网”,虽然过程有点刺激,但是也让我学到了很多东西。以后再做类似的项目,肯定会更加注意安全问题。也希望我的这回实践经历,能够给大家带来一些启发。
- 前期准备:确定需求,了解女性游戏市场
- 技术选型:Vue + SpringBoot + MySQL
- 搭建官网:页面设计,内容填充
- 渗透测试:SQL注入,XSS,任意文件上传
- 漏洞修复:PreparedStatement,ESAPI,文件类型限制
- 总结反思:安全无小事,持续学习
