前几天老张在技术群里看到有人讨论深度复兴官网,说这网站数据加密方式不安全,搞得我心头一紧。要知道我上周刚在那开了会员,赶紧翻出笔记本开整。
一、手动探路踩坑记
先是摸出尘封的抓包工具,对着官网登录页就是一顿戳。输自己账号时手都在抖,生怕下一秒银行卡就被刷爆。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
- 输错密码测试:故意连错五次,账号居然被锁半小时,这比我家小区门禁还严
- 密保邮箱轰炸:改密码时邮箱验证码带60秒倒计时,特好笑的是我手机收件箱突然蹦出三条其他网站广告,验证码邮件硬生生被挤到第四条
- 支付页面玄机:假装买年度会员时,地址栏突然变成带锁头的https,后面还跟着绿油油的"XX认证"标识
二、搬出专业工具箱
手动测完还是不踏实,连夜翻出三件套开搞:
- 用漏扫工具对着支付接口狂轰滥炸,结果工具自己先崩了——这破玩意还是三年前某宝买的盗版
- 掏出抓包神器改支付金额,把598块改成0.01元提交,页面直接弹窗骂我"别耍小聪明"
- 祭出爬虫脚本薅商品数据,刚爬三页就弹出人机验证,让我把倒立的共享单车转正,认输投降
三、较真遇惊喜
本来以为完事了,临睡前看到群里有哥们说"上传功能最好测",半夜又鬼使神差点开会员中心。
先传了2MB证件照秒过,不死心传了80MB视频文件。进度条卡到99%时突然报错:"您是想上传4K电影吗?开通企业版才支持",气得我差点把泡面扣键盘上。但转念发现连大文件攻击都防住了,反而笑出声。
折腾到凌晨三点,瘫在椅子上盯着天花板琢磨:连我这种老油条都薅不动,普通用户还怕索性把测试数据全删了,安心关电脑睡觉。
对了,今早真金白银续了年费会员。让媳妇蹲点查了银行短信,扣款金额没毛病,现在正催她拿会员福利给我刷锅!
