起心动念
昨儿个群里聊得火热,都在说那个魔物娘岛屿网站最近搞会员充值优惠。我心想不对劲,上个月才听说有兄弟账号被盗刷买道具。麻溜点开电脑,寻思干脆拿它练手测测安全,给大伙儿避避坑。
开整第一步
先照着广告链接点进官网,页面花里胡哨闪得我眼晕。随手填了个弱密码“123456”注册账号,结果系统居然显示“密码强度:很强”?!连输三次“qwerty”这种键盘滚一圈的密码都能过,我心里咯噔一下,这防御比纸糊的还脆。
- 试了在密码框输<script>alert('玩完')</script>,居然真弹出警告框
- 用虚拟机开了十个浏览器同时登录同个账号,愣是一个都没踢下线
- 点官网底部“友情链接”,直接跳转到个名字像山寨店的破站
放大招测试
掏出抓包工具看登录流程,好家伙!用户名密码全用明文字符传,连层皮都不披。我蹲厕所连手机热点再测,发现同一个IP两分钟狂刷三百次登录请求,网站居然还能正常打开——这服务器是铁打的?
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
最绝的是找回密码功能。我改个密保邮箱,系统直接往旧邮箱发完整新密码明文,连装都懒得装。手抖复制了个带空格的长链接去验证,页面“砰”地炸出堆数据库报错,连服务器路径都漏了底裤。
收尾惊悚剧
测完正整理报告,官网客服突然弹窗问:“亲测出漏洞有奖励~”。我随手把密码框能执行代码的截图甩过去,对面秒回“这是正常设计”。第二天再测发现漏洞纹丝不动,倒是充值页面悄悄加了三种付款方式。
当天下午收到份“安全顾问”合作邀请,开口就承诺给五位数封口费。我盯着邮件里那个连https都没配的签约链接,反手点了举报垃圾邮件。干这行七年,头回见把“来打我呀”写在脑门上的官网。
所以今儿个拍着键盘跟各位交底:钱包捂紧,验证码当祖宗供着。哪天你账号真被搬空了也别慌——人家连攻击记录都懒得删,截图直接甩网警一抓一个准。这波,叫与魔共舞。
