震惊一个白帽子居然在网咖做出这种事
Posted i春秋
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了震惊一个白帽子居然在网咖做出这种事相关的知识,希望对你有一定的参考价值。
大家有没有注意到,近几年网吧都改名叫网咖了,不明真相的我上网百度了一下网咖的由来:
1、网吧已经处于低迷状态,单纯依靠上网打游戏无法发展下去。要发展必然要有所改变,网吧以前给人的第一印象就是机子破旧,脏乱差,改为网咖不仅感觉高大上,也有个好的印象。
2、网吧经过转型后,有了餐饮服务,读书专区,竞技平台,良好的环境和服务,这些都表明了它已经不是单纯的网吧,是综合型娱乐地点,为了区别,就要用网咖。
3、在众多某某网吧里面出现了某某网咖,无疑是吸引人的,同时形成一个竞争,在同等覆盖范围内同时出现网吧和网咖,虽然消费可能更高,但获得的体验也值得付出,选择网咖的人可能会更多一点。
以上是关于网咖的介绍,也是我们这篇文章的“案发地点”,事件发生在是今年国庆节期间,因为家里的路由器坏了,导致网络中断,于是小白(一个白帽子的昵称)跑去网咖准备继续玩游戏。
当他兴奋的登录游戏界面时,发现游戏旁边弹出了一些小广告,如下图:
顺手点了一个最大的广告进去,发现界面是这样的:
看起来好棒哦,充值后战斗力一定会更强,于是他忍不住打开了支付宝,望着仅有3块2毛6的余额陷入了深深的沉思。
突然他灵机一动,想起了渗透技术,他开始观察这个网站,从URL上发现
这是目录,如果去掉目录是什么样子呢?
遇到这种没验证码的框框肯定要burp一下,毕竟爆破一下,就能得到账号和密码了。
BUT,这是一个没权限的:
于是就找啊找,终于找到一处越权,可以提升为超级管理员,但是不能提升到系统管理员,可能是策略吧,没关系,慢慢接着来。
进来以后发现,用户还真是不少啊,于是脑袋里冒出个邪恶的小想法。
反正都进来了,干脆一不做,二不休,发现后台有一处发布内容可以XSS,而且日流量也不小,那就给群里的大佬做做流量吧。
继续往下看:
套猴子的游戏,5元抽一次,可以得到2至5个Q币,但是其他的游戏都是糊弄人的了。
那今天不拿它shell,都感觉对不起自己。于是开始找上传点,发现在修改奖项图片的地方,可以上传图片。
通过测试是前台JS验证后缀,那么就上个马儿吧。
所以就这样吧。站没搞,也没给自己刷,毕竟我是一个道德品质良好的白帽子,给自己的自律鼓鼓掌!最后我想说拒绝抽奖,从我做起!
看完这篇白帽子的自述,我深深觉得专业技能固然重要,但是具备一个良好的道德品质和自我修养更是重中之重,如果让一个居心叵测的技术人员去排除漏洞,那给企业带来的损失不可想象。
企业如何能找到靠谱的白帽子呢?
i春秋旗下的有信众测可以解决这个难题,入驻近万名白帽子,已成功为300多家企业排除各种安全漏洞,企业的安全隐患得到了明显的改善。根据实时更新数据可知:
没有任何一家企业在网络安全方面可以做到绝对安全,安全都是相对的,是要在不断排除漏洞和修复漏洞中去完善的,无论你是企业还是白帽子,都希望大家能入驻有信众测,一起做网络安全的保卫者。
也许你只是对网络安全感兴趣,也可能是网络安全的初学者,又或者是技术有待提高的专业人员,在这里小编给大家提供一个技术交流群,你有任何技术问题都能在群里找到答案,一个集大咖,技术牛人,白帽子,安全人员从业者的聚集地!话不多说,进群聊吧。
以上是关于震惊一个白帽子居然在网咖做出这种事的主要内容,如果未能解决你的问题,请参考以下文章