Skip to main content
 首页 » 信息安全

隐私泄漏之送关预约系统

2018年01月03日20312

15085050702490.jpg

前言

    信息安全始终是一个值得我们关注的话题,由信息安全带来的隐私泄漏也不断被曝光。诸如:酒店的客户信息、网站用户信息、即时通讯软件用户信息等等。


0x1 起因

    由于需要参加总公司的乔迁晚宴,2017年12月13日,我在网上预约了去香港的送关服务(本人的是L签)。

1.png

根据同事给的链接,我准备购买。

2.png

通过链接浏览了一下店铺,发现了这个预约网站。

3.png

(www.szygly.com) 通常给了网站,我都会简单的检测一下安全性,当然这次也不会例外,只是检测,不做恶意攻击。


0x2 安全性检测过程

4.png

首先查一下网站是什么服务器,是什么程序开发,从抓包的信息中可以看出(我在浏览器中输入asp的默认首页测试了一下,返回如下信息。)

服务器:IIS7.5 程序:asp.net  

首先简单测试输入框是否存在注入点,返回的结果是没戏。

既然没有注入点,会不会有后台系统?


0x3 后台管理的弱口令

7.png

随手在域名后面输入了admin,返回的结果很是意外。意外的不止这些,接下来还有更意外的。

8.png

测试了一下常用的默认帐号密码,然后就出现这个界面。就问你刺激不刺激,惊喜不惊喜。(默认常用的系统帐号密码有很多,如:root admin 123456 guest user test ......等等)

9.png

这只是一个店铺的数据,就已经43904条了。淘宝很多这样的店铺的。


2018年1月4日 01:26:37  明天先跟客服反映这个问题,会继续写客服的对话(本文没有任何技术含量,只是想告诉大家,你的信息是怎么被泄密的。)


0x4    反馈问题 & 修复

    经过昨晚的测试,今天忙完工作,终于想起来要给客服反映问题了。

1.png

2.png

3.png

2018年1月4日16:57:02     好了,事情到这里就结束了,多说一句,信息安全始终值得大家重视!

评论列表2条评论
程序员爱好者
程序员爱好者回复 越厉害的黑客越想证明自己
哦引力
哦引力回复 如今的黑客不能应用到正规用途上
发表评论
新浪微博
微信