前言
信息安全始终是一个值得我们关注的话题,由信息安全带来的隐私泄漏也不断被曝光。诸如:酒店的客户信息、网站用户信息、即时通讯软件用户信息等等。
0x1 起因
由于需要参加总公司的乔迁晚宴,2017年12月13日,我在网上预约了去香港的送关服务(本人的是L签)。
根据同事给的链接,我准备购买。
通过链接浏览了一下店铺,发现了这个预约网站。
(www.szygly.com) 通常给了网站,我都会简单的检测一下安全性,当然这次也不会例外,只是检测,不做恶意攻击。
0x2 安全性检测过程
首先查一下网站是什么服务器,是什么程序开发,从抓包的信息中可以看出(我在浏览器中输入asp的默认首页测试了一下,返回如下信息。)
服务器:IIS7.5 程序:asp.net
首先简单测试输入框是否存在注入点,返回的结果是没戏。
既然没有注入点,会不会有后台系统?
0x3 后台管理的弱口令
随手在域名后面输入了admin,返回的结果很是意外。意外的不止这些,接下来还有更意外的。
测试了一下常用的默认帐号密码,然后就出现这个界面。就问你刺激不刺激,惊喜不惊喜。(默认常用的系统帐号密码有很多,如:root admin 123456 guest user test ......等等)
这只是一个店铺的数据,就已经43904条了。淘宝很多这样的店铺的。
2018年1月4日 01:26:37 明天先跟客服反映这个问题,会继续写客服的对话(本文没有任何技术含量,只是想告诉大家,你的信息是怎么被泄密的。)
0x4 反馈问题 & 修复
经过昨晚的测试,今天忙完工作,终于想起来要给客服反映问题了。
2018年1月4日16:57:02 好了,事情到这里就结束了,多说一句,信息安全始终值得大家重视!