昨天刷手机看到有人讨论离家而去官网的安全性,心里咯噔一下。上周刚在那下单过东西!赶紧扒拉抽屉找出我的破笔记本,插电开机打算好好测一把。
先把水搅浑
我特意没接家里Wi-Fi,手机开热点连电脑。打开浏览器先输了个错得离谱的网址,页面直接蹦出满屏花花绿绿的广告——好家伙,连个正经404错误页都没有,这防盗门跟纸糊的似的。
...
昨天刷手机看到有人讨论离家而去官网的安全性,心里咯噔一下。上周刚在那下单过东西!赶紧扒拉抽屉找出我的破笔记本,插电开机打算好好测一把。
先把水搅浑
我特意没接家里Wi-Fi,手机开热点连电脑。打开浏览器先输了个错得离谱的网址,页面直接蹦出满屏花花绿绿的广告——好家伙,连个正经404错误页都没有,这防盗门跟纸糊的似的。
上硬货检测
掏出三样家伙事儿:
- 国外那个大厂出的检测平台,免费版只能查基础项目
- 国内安全公司做的漏洞扫描器
- 自己写的爬虫脚本,专门模拟真人点来点去
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
先把官网地址塞进扫描器,进度条慢得像蜗牛爬。趁这工夫我手动把登录、支付这些页面全点了一遍,地址栏的小锁头倒是挂着,可页面里混着五六个第三方链接,有个资源直接调用了连HTTPS都不支持的野鸡CDN。
捅出大篓子
下午两点多漏洞报告终于吐出来了,看得我后背发凉:登录接口随便试密码都不锁账户,找回密码居然用手机号后四位当验证码!最绝的是提交订单那个页面,我把价格参数改成0.01元,系统真就按一毛钱生成了待支付订单。
赶紧开爬虫脚本做压力测试,结果刚模拟到三十个人同时抢票,整个官网直接卡成PPT。后台日志里清清楚楚飘着数据库报错,表名字段名全暴露了——这跟把保险箱密码贴门口有啥区别?
来狠的
祭出国外检测平台扫全站,红灯亮得跟过年似的:SSL证书用的是免费版,TLS协议还掺着老掉牙的1.0版本。DNS检测更离谱,国内访问被解析到河南某机房,换境外线路直接跳转到澳门赌场网页——合着用户访问的压根不是同一个网站!
折腾到晚上九点多,保温杯里的热水都凉透了。整理测试结果时越想越气,给他们家安全措施总结就八个字:防君子不防小人,糊弄鬼? 要问我建议?能用APP就别刷网页端,真要官网操作的话——输密码前先拜拜菩萨!
