那天闲着没事刷手机,突然蹦出个“星光之欲”的广告,花花绿绿的特扎眼。说是啥会员专属福利平台。我心里嘀咕,这名字听着就有点悬,安全吗?干脆自己动手探探路。
第一步:从域名开始扒皮
点开广告链接,网址长得像乱码,一看就不是正经公司那种规整的域名。随手打开搜索引擎,啪啪敲下“星光之欲 公司注册”和“星光之欲 投诉”。好家伙,结果页干净得像被水洗过,除了他们自己投放的广告,屁都没找到一个。正经公司总得有点工商信息或者用户讨论?这查无此人的状态,我手指头立马就凉了半截。
第二步:戳进官网看门道
硬着头皮点进官网。界面倒是做的人模狗样,弹窗跳出来跟不要钱似的,催着注册领“大礼包”。我皱着鼻子点“注册”,过程简单到离谱——就填个手机号加个弱密码(试了123456居然通过了),连个验证码都不需要!完事儿直接进了后台,一点安全防护的感觉都没有。这感觉就像进菜市场连个看门的都没有!
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
重点来了,我开始戳它的安全漏洞:- 找“锁”找不着:眼睛扫遍整个网页,尤其是登录框和付钱的地方,愣是没瞅见那个代表加密的小锁头图标(HTTPS)。地址栏开头还是http://,这年头裸奔的网站可太稀罕了。
- 检查资质证:鼠标使劲往下滚,翻到最底下看备案信息。通常正经网站会挂个备案号,点开还能查公司详情。这地方?一片空白,要么就是放了个假号码,查都查不到。等于说这网站谁开的、在哪开的,全是迷。
- 关脚本试水:我打开浏览器设置,把javascript咔嚓一下禁用了,再刷新页面。你猜怎么着?那些花里胡哨的广告和弹窗是没了,但登录框和“立即充值”的大按钮,居然还明晃晃地立在那儿!能点!这种前端不做校验的搞法,稍微懂点技术的人分分钟能改你的支付金额。手心里立马捏了把汗。
- 玩登录把戏:我故意输错密码,系统居然慢悠悠地提示“密码错误,请重试”。正常网站怕被暴力破解,都会限制次数或者加验证码?这儿可随便你试。更要命的是,注册时我瞎填的密码,在后台的个人中心里,居然是明晃晃的星号显示!正常安全点儿的网站应该只显示“已设置”或者星号。这操作,黑客要是摸进来,后台一翻一个准。
一步:假装小白试支付
我点开那个“限时福利充值入口”,随便选了个最便宜的10块钱套餐。付款流程倒是顺滑,跳转到个支付页面,收款方名字跟“星光之欲”半毛钱关系都扯不上,写着是啥“某某商贸行”,看着就是路边小卖部的感觉。我赶紧刹车,没真付钱。
啪一声拍桌子!结论呼之欲出:
搞完这一大圈,后背都出汗了。查不到注册信息、域名裸奔(http)、禁脚本照样能操作关键页面、登录毫无防护、密码后台还能看……这已经不是安不安全的问题了,简直是挖好了坑等人往里跳!打着“星光之欲”招牌的这网站,九成九是来钓鱼割韭菜的。这还往里充钱?真金白银砸进去,怕不是连个水花儿都听不见!这坑,我反正是绕着走了。朋友们长点心,看见这类花名儿又查不到底细的,赶紧跑!
