为啥要查这个网站
今早刷手机,看见群里有人分享个叫“热妻阿什莉”的官网,说是资源很多。我第一反应就是:这名字听着就有点那官网真的靠谱吗?不会被钓鱼?作为一个老网民,特别对这类小众站点,好奇心一上来,非得亲手扒一扒它的安全底裤不可。
动手第一步:查身份
二话不说,我先杀到工信部的备案查询平台。把那个官网地址输进去,结果你猜怎么着?查无此人!连个正式备案信息都没有,这跟黑户没啥区别。心里咯噔一下,感觉这地方有点悬。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
第二步:扒地理位置
备案都没有,更得看看它服务器藏在哪。我掏出在线的WHOIS查询工具(就查域名信息那种),搜了下。果不其然,IP显示服务器蹲在香港某机房。虽然不违法,但很多灰色小站都爱往那儿挤,这种托管环境本身就容易藏污纳垢。
第三步:瞅瞅那把“锁”
打开浏览器,直接进官网。眼睛先往地址栏那儿瞟,看有没有小锁头图标。还真有把绿色的锁,旁边跟着个“HTTPS”。点开锁头看详细证书信息:
- 发证机构:名字看着像国外一家专门发便宜证书的小公司,知名度不高。
- 证书类型:最基础的DV证书,就验证个域名所有权,网站背后的公司、人是谁完全不管。
- 有效期:倒是没过期。
有加密是好的,但这证书的“底子”太薄,给人一种应付差事的感觉。
第四步:试探隐私泄露
官网最显眼的位置有个大大的登录/注册按钮。我点了注册,随便编了个假的邮箱和用户名填进去。重点来了:在填密码那个框里,我故意输了一个极其简单、常用的弱密码“123456”。就想看它会不会当场跳出来骂我“密码太弱”。结果,屁都没放一个!直接让我下一步了。连这点基本的安全检查都省了?这态度也太敷衍了!
第五步:摸黑看数据传输
最关键的来了。我打开浏览器的开发者工具(按F12),点开“网络”(Network) 标签。准备再次点击登录按钮。就在点击那一刹那,我死死盯着网络请求列表。一刷,出来一条登录请求的数据包。我赶紧点开它看详情:
- 请求地址:虽然主页是HTTPS,但这个登录请求的地址开头竟然变成了“HTTP”!
- 发送内容:点开一看,我刚才胡乱输入的那个邮箱/用户名和那个弱密码“123456”,明晃晃地、赤裸裸地躺在请求的“数据”(Payload)里!
好家伙!表面上挂着安全锁,实际上在登录的一哆嗦,直接用没加密的HTTP把账号密码给裸发送出去了?!这骚操作差点闪瞎我的眼!
立马撤退!
看到这,我直接把浏览器标签页关了。查备案查不到、服务器位置微妙、安全证书像是淘宝买的便宜货、连个弱密码都不检查、最要命的登录数据直接裸奔……这所谓的“官网”,安全防护基本等于纸糊的,特别是那个登录明文传密码的操作,简直就是在用户背后捅刀子。甭管它提供啥资源,也甭管界面做得多炫酷,只要它敢明着传你的密码,那就是万万不能碰的深坑!测试到此为止,这地方,谁爱上谁上,反正我是溜了溜了。
