今儿闲着没事干刷贴,看见有人问《背后的世界》官网安不安全。我这暴脾气噌就上来了,干脆拎出祖传笔记本亲自捅咕捅咕。
起手就莽官网后台
先拿浏览器戳开官网首页,花里胡哨特效晃得眼疼。鼠标一甩直接往网址栏头加了个/admin,回车键按得嘎嘣响——好家伙!真给我弹出个灰不溜秋的登录框!
当场掏出祖传密码本开蒙:admin/admin 报错,123456 不行,password 直接被拒。撸袖子直接填:
- 网站名拼音
- 客服电话倒着写
- 公司名缩写加生日
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
全给我弹红字警告,气得把键盘拍得哐哐响。
暴力测试撞南墙
抄起插件调出调试台,对着登录框狂塞: ' or 1=1-- <script>alert(1)</script>
连中文脏话都糊上去了!结果这破框跟焊死了似的,除了“验证码错误” 就是 “账号异常”,直接给我锁IP十分钟。
扭头又试密码找回功能。填官网留的客服邮箱申请重置,结果等了半小时邮箱毛都没有。不死心再试:
- 官网域名乱改后缀
- 把admin@拆成a.*@
- 甚至编了个ceo名字加年份
全石沉大海,倒是网页跳转速度越来越慢。
防瘫测试现原形
从仓库翻出压箱底的压测工具哐哐捶网站: 每秒500次请求开冲!
前五分钟稳如老狗,第六分钟突然抽搐,页面加载从2秒飙升到20秒,第十二分钟干脆给我蹦出个蓝底白字的“服务器忙”。关了工具等半小时再刷新,又活蹦乱跳了!
捞点边角料
不死心翻页面源码,在图片文件夹里扒拉出个疑似测试用的,兴奋点开一看:空文件!翻遍JS脚本倒是揪出俩带“debug=true”的链接,点进去全404,跟耍人玩儿似的。
收工前顺手查备案号,倒是整整齐齐挂着红盾标。可等我隔天再想登录测试,发现那admin后台路径直接404了——合着人家连夜拿水泥把后门糊上了!
这趟捅咕下来,你说它安全,后台路径跟裸奔似的;说它不安全,防暴力破解和DDoS倒是有点东西。反正建议别在官网存密码,指不定哪天又冒出个/manager的新后门?晚上跟哥们撸串的时候还能吹牛逼:“劳资差点把游戏公司官网干趴窝!”
