震惊一个白帽子居然在网咖做出这种事

Posted i春秋

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了震惊一个白帽子居然在网咖做出这种事相关的知识,希望对你有一定的参考价值。

大家有没有注意到,近几年网吧都改名叫网咖了,不明真相的我上网百度了一下网咖的由来:

1、网吧已经处于低迷状态,单纯依靠上网打游戏无法发展下去。要发展必然要有所改变,网吧以前给人的第一印象就是机子破旧,脏乱差,改为网咖不仅感觉高大上,也有个好的印象。

2、网吧经过转型后,有了餐饮服务,读书专区,竞技平台,良好的环境和服务,这些都表明了它已经不是单纯的网吧,是综合型娱乐地点,为了区别,就要用网咖。

3、在众多某某网吧里面出现了某某网咖,无疑是吸引人的,同时形成一个竞争,在同等覆盖范围内同时出现网吧和网咖,虽然消费可能更高,但获得的体验也值得付出,选择网咖的人可能会更多一点。

以上是关于网咖的介绍,也是我们这篇文章的“案发地点”,事件发生在是今年国庆节期间,因为家里的路由器坏了,导致网络中断,于是小白(一个白帽子的昵称)跑去网咖准备继续玩游戏。

 当他兴奋的登录游戏界面时,发现游戏旁边弹出了一些小广告,如下图:

顺手点了一个最大的广告进去,发现界面是这样的:

看起来好棒哦,充值后战斗力一定会更强,于是他忍不住打开了支付宝,望着仅有3块2毛6的余额陷入了深深的沉思。

突然他灵机一动,想起了渗透技术,他开始观察这个网站,从URL上发现

 

这是目录,如果去掉目录是什么样子呢?

 

遇到这种没验证码的框框肯定要burp一下,毕竟爆破一下,就能得到账号和密码了。

        

BUT,这是一个没权限的:

 

于是就找啊找,终于找到一处越权,可以提升为超级管理员,但是不能提升到系统管理员,可能是策略吧,没关系,慢慢接着来。

 

进来以后发现,用户还真是不少啊,于是脑袋里冒出个邪恶的小想法。

 

反正都进来了,干脆一不做,二不休,发现后台有一处发布内容可以XSS,而且日流量也不小,那就给群里的大佬做做流量吧。

 

 

继续往下看:

 

 

套猴子的游戏,5元抽一次,可以得到2至5个Q币,但是其他的游戏都是糊弄人的了。

 

那今天不拿它shell,都感觉对不起自己。于是开始找上传点,发现在修改奖项图片的地方,可以上传图片。

 

通过测试是前台JS验证后缀,那么就上个马儿吧。

所以就这样吧。站没搞,也没给自己刷,毕竟我是一个道德品质良好的白帽子,给自己的自律鼓鼓掌!最后我想说拒绝抽奖,从我做起!

看完这篇白帽子的自述,我深深觉得专业技能固然重要,但是具备一个良好的道德品质和自我修养更是重中之重,如果让一个居心叵测的技术人员去排除漏洞,那给企业带来的损失不可想象。

 

企业如何能找到靠谱的白帽子呢?

 

i春秋旗下的有信众测可以解决这个难题,入驻近万名白帽子,已成功为300多家企业排除各种安全漏洞,企业的安全隐患得到了明显的改善。根据实时更新数据可知:

 

没有任何一家企业在网络安全方面可以做到绝对安全,安全都是相对的,是要在不断排除漏洞和修复漏洞中去完善的,无论你是企业还是白帽子,都希望大家能入驻有信众测,一起做网络安全的保卫者。

 

也许你只是对网络安全感兴趣,也可能是网络安全的初学者,又或者是技术有待提高的专业人员,在这里小编给大家提供一个技术交流群,你有任何技术问题都能在群里找到答案,一个集大咖,技术牛人,白帽子,安全人员从业者的聚集地!话不多说,进群聊吧。

以上是关于震惊一个白帽子居然在网咖做出这种事的主要内容,如果未能解决你的问题,请参考以下文章

想成为白帽子需要学些啥?最近在看《白帽子讲web安全》,可是发现自己看不懂,学校有在学web编程

白帽子挖漏洞日记之指定型XSS

如何成为一名白帽子

《白帽子讲WEB安全》学习笔记之第10章 访问控制

白帽子讲Web安全

白帽子讲Web安全--读书笔记