昨天折腾到半夜的事
这事儿得从前天晚上说起。我在老家小县城蹲着刷短视频,突然刷到个推广苗床圣女的广告,说是新用户注册能领188大红包。我手贱戳了进去,结果页面卡得要死,加载图片都是裂开的。这时候群里有人喊:"老王你看这破站靠谱不?咋连个https锁头都没有?"
我随手扒拉了一下网址,心里咯噔一声:这界面花花绿绿像山寨货,连公司备案信息都藏得跟捉迷藏似的。琢磨半天,决定干脆自己当回小白鼠测测看。
开虚拟机搞测试
翻出吃灰的老笔记本,先装了虚拟机隔离环境。启动时风扇呜呜转得像拖拉机,我等了足足十分钟才进去。接下来按流程走:
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
- 第一步:注册 - 输手机号收验证码,刚点发送,嗖嗖来了五个空短信!邪门的是验证码居然还能用
- 第二步:填资料 - 上传头像时手滑传了张风景图,系统秒过审核,连人脸识别都没触发
- 第三步:充钱测试 - 试着充了50块,付款成功那刻心都在滴血
重点来了:支付成功跳转时,地址栏突然变三次! 从.com跳.net蹦到个带乱码的域名。吓得我赶紧把网线拔了。
半夜翻防火墙日志
重新开机查虚拟机日志,好家伙!抓包工具显示这网站:
- 用户密码居然用base64裸奔传输
- 所谓"金融级加密"的充值接口用的是http明文
- 每点个按钮就往三个不同ip发送用户数据
最绝的是凌晨两点,我正蹲在电脑前啃冷掉的炒饭,突然收到个境外来电:"先生检测到您账户异常..." 我压根没留真电话号码! 瞬间后背发凉。
那个致命的验证码
今早不死心又测验证机制。特意输错三次密码,结果:
- 第一次错,提示"账号不存在"
- 第二次错,变成"密码错误"
- 第三次错,直接跳转首页了! 连个锁定机制都没有
折腾到中午终于放弃。50块充值款到现在没到账,客服机器人复读"请耐心等待72小时"。准备注销账户时更魔幻:注销按钮点十次没反应,在隐私协议第38条找到行小字:"注销需邮寄身份证复印件至柬埔寨金边市..."
对了!刚刚发现手机被"呼死你"轰炸了,全是境外诈骗电话。估计测试时用的虚拟号早被卖了。隔壁二舅听说了直拍大腿:"早说了这种野鸡网站!我去年被坑的八千彩礼钱还没要回来!"
现在笔记本还在杀毒,嗡嗡声吵得头疼。奉劝各位看见类似广告直接划走,验证机制漏洞比我家漏雨的屋顶还破!至于那50块...就当交智商税了!
