哪有絕對安全的企業
都是在不斷排除漏洞
又不斷修複漏洞中
達到的相對安全!
大家有沒有注意到,近幾年網吧都改名叫網咖了,不明真相的我上網百度了一下網咖的由來:
1、網吧已經處于低迷狀态,單純依靠上網打遊戲無法發展下去。要發展必然要有所改變,網吧以前給人的第一印象就是機子破舊,髒亂差,改為網咖不僅感覺高大上,也有個好的印象。
2、網吧經過轉型後,有了餐飲服務,讀書專區,競技平台,良好的環境和服務,這些都表明了它已經不是單純的網吧,是綜合型娛樂地點,為了差別,就要用網咖。
3、在衆多某某網吧裡面出現了某某網咖,無疑是吸引人的,同時形成一個競争,在同等覆寫範圍内同時出現網吧和網咖,雖然消費可能更高,但獲得的體驗也值得付出,選擇網咖的人可能會更多一點。
以上是關于網咖的介紹,也是我們這篇文章的“案發地點”,事件發生在是今年國慶節期間,因為家裡的路由器壞了,導緻網絡中斷,于是小白(一個白帽子的昵稱)跑去網咖準備繼續玩遊戲。
當他興奮的登入遊戲界面時,發現遊戲旁邊彈出了一些小廣告,如下圖:
順手點了一個最大的廣告進去,發現界面是這樣的:
看起來好棒哦,充值後戰鬥力一定會更強,于是他忍不住打開了支付寶,望着僅有3塊2毛6的餘額陷入了深深的沉思。
突然他靈機一動,想起了滲透技術,他開始觀察這個網站,從URL上發現
這是目錄,如果去掉目錄是什麼樣子呢?
遇到這種沒驗證碼的框框肯定要burp一下,畢竟爆破一下,就能得到賬号和密碼了。
BUT,這是一個沒權限的:
于是就找啊找,終于找到一處越權,可以提升為超級管理者,但是不能提升到系統管理者,可能是政策吧,沒關系,慢慢接着來。
進來以後發現,使用者還真是不少啊,于是腦袋裡冒出個邪惡的小想法。
反正都進來了,幹脆一不做,二不休,發現背景有一處釋出内容可以XSS,而且日流量也不小,那就給群裡的大佬做做流量吧。
繼續往下看:
套猴子的遊戲,5元抽一次,可以得到2至5個Q币,但是其他的遊戲都是糊弄人的了。
那今天不拿它shell,都感覺對不起自己。于是開始找上傳點,發現在修改獎項圖檔的地方,可以上傳圖檔。
通過測試是前台JS驗證字尾,那麼就上個馬兒吧。
是以就這樣吧。站沒搞,也沒給自己刷,畢竟我是一個道德品質良好的白帽子,給自己的自律鼓鼓掌!最後我想說拒絕抽獎,從我做起!
看完這篇白帽子的自述,我深深覺得專業技能固然重要,但是具備一個良好的道德品質和自我修養更是重中之重,如果讓一個居心叵測的技術人員去排除漏洞,那給企業帶來的損失不可想象。
企業如何能找到靠譜的白帽子呢?
i春秋旗下的有信衆測可以解決這個難題,入駐近萬名白帽子,已成功為300多家企業排除各種安全漏洞,企業的安全隐患得到了明顯的改善。根據實時更新資料可知:
沒有任何一家企業在網絡安全方面可以做到絕對安全,安全都是相對的,是要在不斷排除漏洞和修複漏洞中去完善的,無論你是企業還是白帽子,都希望大家能入駐有信衆測,一起做網絡安全的保衛者。
也許你隻是對網絡安全感興趣,也可能是網絡安全的初學者,又或者是技術有待提高的專業人員,在這裡小編給大家提供一個技術交流群,你有任何技術問題都能在群裡找到答案,一個集大咖,技術牛人,白帽子,安全人員從業者的聚集地!話不多說,進群聊吧。