起疑心的开端
昨儿晚上刷短视频,洛娜的世界这游戏广告铺天盖地弹到我脸上。画面确实吸睛,没忍住就点了详情页底下的“官网直达”。浏览器一蹦跶,那个号称官网的页面就出来了,花花绿绿全是限时抽奖和首充双倍啥的,弹窗跟牛皮癣似的关都关不干净。
手贱开始测试
我这人就爱瞎琢磨。顺手在密码框里乱输了一串“123456”加几个字母,点登录。本来等着看“密码错误”提示,结果页面直接卡成白屏,转圈转了小半分钟才弹出来个模糊的“网络异常”!接着我又换了新邮箱随便注册个小号,连验证码都不用填,提交直接秒成功,后台啥反应都没有,跟喝水一样简单。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
这下真不对劲了。我把收藏夹里那个官网地址复制出来,找了个域名备案查询工具贴进去查。备案主体写的倒是个科技公司名字,问题是联系邮箱后缀跟官网域名八竿子打不着,就一个163的免费邮箱挂在那儿。
抓包露馅儿
干脆祭出抓包工具Fiddler(这玩意儿名儿得打个码,你们懂的)。挂着工具重新刷新官网,结果加载到一半页面右下角突然蹦出来个来历不明的广告浮窗,图都还没加载完整,抓包记录里就发现它后台悄悄连上了好几个奇怪的IP地址,有一个还是国外某小城市的机房节点!更离谱的是,“玩家论坛”入口点进去,地址栏跳出来一大串乱码一样的参数,结尾居然是.php?明明页面标题写的是静态HTML活动页。
安全设置约等于零
再回头翻账号设置页找安全选项,好家伙!整个后台就没有“双重验证”这功能,密保问题设置藏在用户中心最底下不起眼的小字里,我手滑把登录密码改成了纯数字“888888”,系统居然也通过了。尝试把头像换成个带外链的图片测试XSS漏洞,上传时系统连文件类型都不检测,直接给我传上去了,刷新后那图就在头像位置正常显示!
防坑指南直接拍脸上
整这么一通折腾,我是彻底服气了。总结几条血泪忠告给大伙儿:
- 看见疯狂弹抽奖广告的“官网”先查备案,邮箱对不上号的直接划走
- 注册时不强制手机/邮箱验证的,密码别用正经常用密码
- 账号设置里找不到双重验证开关的,别绑支付方式
- 网址带乱码参数的页面,打死别输账号密码
这家官网现在躺在我浏览器的“危险分类”标签页里吃灰。下次要是发现它加了支付功能,我非得拿虚拟卡再测它一梭子不可,看它数据是不是裸奔的——不过现在我真是懒得再碰了。
