码迷,mamicode.com
首页 > 其他好文 > 详细

【震惊】一个白帽子居然在网咖做出这种事

时间:2018-11-28 15:42:59      阅读:187      评论:0      收藏:0      [点我收藏+]

标签:内容   广告   管理员   其他   iat   战斗   覆盖   cos   安全漏洞   

大家有没有注意到,近几年网吧都改名叫网咖了,不明真相的我上网百度了一下网咖的由来:

1、网吧已经处于低迷状态,单纯依靠上网打游戏无法发展下去。要发展必然要有所改变,网吧以前给人的第一印象就是机子破旧,脏乱差,改为网咖不仅感觉高大上,也有个好的印象。

2、网吧经过转型后,有了餐饮服务,读书专区,竞技平台,良好的环境和服务,这些都表明了它已经不是单纯的网吧,是综合型娱乐地点,为了区别,就要用网咖。

3、在众多某某网吧里面出现了某某网咖,无疑是吸引人的,同时形成一个竞争,在同等覆盖范围内同时出现网吧和网咖,虽然消费可能更高,但获得的体验也值得付出,选择网咖的人可能会更多一点。

以上是关于网咖的介绍,也是我们这篇文章的“案发地点”,事件发生在是今年国庆节期间,因为家里的路由器坏了,导致网络中断,于是小白(一个白帽子的昵称)跑去网咖准备继续玩游戏。

 当他兴奋的登录游戏界面时,发现游戏旁边弹出了一些小广告,如下图:

技术分享图片

顺手点了一个最大的广告进去,发现界面是这样的:

技术分享图片

看起来好棒哦,充值后战斗力一定会更强,于是他忍不住打开了支付宝,望着仅有3块2毛6的余额陷入了深深的沉思。

技术分享图片

突然他灵机一动,想起了渗透技术,他开始观察这个网站,从URL上发现

技术分享图片

 

这是目录,如果去掉目录是什么样子呢?

技术分享图片 

遇到这种没验证码的框框肯定要burp一下,毕竟爆破一下,就能得到账号和密码了。

        

BUT,这是一个没权限的:

技术分享图片 

于是就找啊找,终于找到一处越权,可以提升为超级管理员,但是不能提升到系统管理员,可能是策略吧,没关系,慢慢接着来。

技术分享图片 

进来以后发现,用户还真是不少啊,于是脑袋里冒出个邪恶的小想法。

技术分享图片 

反正都进来了,干脆一不做,二不休,发现后台有一处发布内容可以XSS,而且日流量也不小,那就给群里的大佬做做流量吧。

技术分享图片 

技术分享图片 

继续往下看:

技术分享图片 

技术分享图片 

套猴子的游戏,5元抽一次,可以得到2至5个Q币,但是其他的游戏都是糊弄人的了。

 

那今天不拿它shell,都感觉对不起自己。于是开始找上传点,发现在修改奖项图片的地方,可以上传图片。

 

通过测试是前台JS验证后缀,那么就上个马儿吧。

技术分享图片

所以就这样吧。站没搞,也没给自己刷,毕竟我是一个道德品质良好的白帽子,给自己的自律鼓鼓掌!最后我想说拒绝抽奖,从我做起!

技术分享图片

看完这篇白帽子的自述,我深深觉得专业技能固然重要,但是具备一个良好的道德品质和自我修养更是重中之重,如果让一个居心叵测的技术人员去排除漏洞,那给企业带来的损失不可想象。

 

企业如何能找到靠谱的白帽子呢?

 

i春秋旗下的有信众测可以解决这个难题,入驻近万名白帽子,已成功为300多家企业排除各种安全漏洞,企业的安全隐患得到了明显的改善。根据实时更新数据可知:

技术分享图片

 

没有任何一家企业在网络安全方面可以做到绝对安全,安全都是相对的,是要在不断排除漏洞和修复漏洞中去完善的,无论你是企业还是白帽子,都希望大家能入驻有信众测,一起做网络安全的保卫者。

 

也许你只是对网络安全感兴趣,也可能是网络安全的初学者,又或者是技术有待提高的专业人员,在这里小编给大家提供一个技术交流群,你有任何技术问题都能在群里找到答案,一个集大咖,技术牛人,白帽子,安全人员从业者的聚集地!话不多说,进群聊吧。

技术分享图片

【震惊】一个白帽子居然在网咖做出这种事

标签:内容   广告   管理员   其他   iat   战斗   覆盖   cos   安全漏洞   

原文地址:https://www.cnblogs.com/ichunqiu/p/10031662.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!