隐私泄漏之送关预约系统

9,412次阅读
没有评论

共计 725 个字符,预计需要花费 2 分钟才能阅读完成。

隐私泄漏之送关预约系统

前言

    信息安全始终是一个值得我们关注的话题,由信息安全带来的隐私泄漏也不断被曝光。诸如:酒店的客户信息、网站用户信息、即时通讯软件用户信息等等。

0x1 起因

    由于需要参加总公司的乔迁晚宴,2017年12月13日,我在网上预约了去香港的送关服务(本人的是L签)。

隐私泄漏之送关预约系统

根据同事给的链接,我准备购买。

隐私泄漏之送关预约系统

通过链接浏览了一下店铺,发现了这个预约网站。

隐私泄漏之送关预约系统

(www.szygly.com) 通常给了网站,我都会简单的检测一下安全性,当然这次也不会例外,只是检测,不做恶意攻击。


0x2 安全性检测过程

隐私泄漏之送关预约系统

首先查一下网站是什么服务器,是什么程序开发,从抓包的信息中可以看出(我在浏览器中输入asp的默认首页测试了一下,返回如下信息。)

服务器:IIS7.5 程序:asp.net  

隐私泄漏之送关预约系统

隐私泄漏之送关预约系统

首先简单测试输入框是否存在注入点,返回的结果是没戏。

既然没有注入点,会不会有后台系统?

0x3 后台管理的弱口令

隐私泄漏之送关预约系统

随手在域名后面输入了admin,返回的结果很是意外。意外的不止这些,接下来还有更意外的。

隐私泄漏之送关预约系统

测试了一下常用的默认帐号密码,然后就出现这个界面。就问你刺激不刺激,惊喜不惊喜。(默认常用的系统帐号密码有很多,如:root admin 123456 guest user test ……等等)

隐私泄漏之送关预约系统

这只是一个店铺的数据,就已经43904条了。淘宝很多这样的店铺的。

2018年1月4日 01:26:37  明天先跟客服反映这个问题,会继续写客服的对话(本文没有任何技术含量,只是想告诉大家,你的信息是怎么被泄密的。)

0x4    反馈问题 & 修复

    经过昨晚的测试,今天忙完工作,终于想起来要给客服反映问题了。

隐私泄漏之送关预约系统

隐私泄漏之送关预约系统

隐私泄漏之送关预约系统

2018年1月4日16:57:02     好了,事情到这里就结束了,多说一句,信息安全始终值得大家重视!

正文完
 0
admin
版权声明:本站原创文章,由 admin 于2018-01-03发表,共计725字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(没有评论)
验证码