城市攻防赛结束了!我们团队虽然没有拿到第一,也是小伙伴第一次合作,起步的开始吧。有一个队员同事是中国香港的建议去中国香港玩一下。我在网上预约了去中国香港的送关服务(本人的是L签)
同事给的链接,我准备购买。
通过链接浏览了一下店铺,发现了这个预约网站。
由于习惯问题,通常别人给了网站,我都会简单的检测一下安全性,只是检测,不做恶意攻击。
首先查一下网站是什么服务器,是什么程序开发,从抓包的信息中可以看出(我在浏览器中输入asp的默认首页测试了一下,返回如下信息。)
服务器:IIS7.5 程序:asp.net
首先简单测试输入框是否存在注入点,返回的结果是没戏。
既然没有注入点,会不会有后台系统?
随手在域名后面输入了admin,返回的结果惊不惊喜,意不意外。
意外的不止这些,接下来还有更意外的。
测试了一下常用的默认帐号密码,然后就出现这个界面。就问你刺激不刺激,惊喜不惊喜。(默认常用的系统帐号密码有很多,如:root admin 123456 guest user test ......等等)
这只是一个店铺的数据,就已经43904条了。淘宝很多这样的店铺的
本文没有任何技术含量,只是想告诉大家,你的信息是怎么被泄密的。
然后不就和客服联系
他们的整体外包给别人做的,我不知道是人家故意的还是无心的,外包是最不安全的,以上没有技术含量就能看到,可见信息安全大家的都不重视,待事故发生就晚了。
领取专属 10元无门槛券
私享最新 技术干货