2010年5月9日 星期日

小歪碎碎念: 2010-05-09 取得個人資料何需Foxy. 一個爛網站就能讓你脫光光

小歪碎碎念: 2010-05-09 取得個人資料何需Foxy. 一個爛網站就能讓你脫光光

2010-05-09


2010-05-09 取得個人資料何需Foxy. 一個爛網站就能讓你脫光光

今天看到一則新聞

用foxy盜個資 網購盜刷百萬元

刷爆近百人信用卡
警方調查,嫌疑人黃廉恩(27歲,有竊盜、詐欺等前科),擔任資訊業某公司遊戲管理員,涉嫌自97年6月起,利用下 載foxy資源分享軟體,網路搜尋信用卡持有人,盜走存放電腦裡個人資料,取得信用卡號及檢核碼。

一時手癢用嫌疑人名字上 GOOGLE搜了一下
結果又發現一個後台管理系統被 GOOGLE給爬進去了 XD



既 然知道該管理後台的URL,就可以用 site: 參數來鎖定目標向GOOGLE大神查詢
啊咧,又是兩千多筆啊


隨 便按一筆進去,結果跳出一個Javascript的alert 無權限,請重新登入

可 是如果用NoScript這個FireFox的Plug-In來把Javascript檔掉,就可以一覽無遺了




而 且不光是看個資,整個後台任何操作都通行無阻

這網站管理後台雖然在最前面有做帳號密碼登入,
但是後面所有判斷完全交由前端的 JavaScript來處裡,
因為他所謂的權限系統 判定,只是在ASP產出的頁面前面插上這段
< language="JAVASCRIPT">
alert("無權限,請重新登入")
history.go(-1);
< / script >
不 過不管是該出來還不該出來的其他資料全都老老實實的SHOW在底下..

這樣的網站管理後台 也算是個極品了.

相 關網站資料因為程式缺陷或是管理疏失而被搜尋引擎抓出來外洩的案例已經夠多了,老實說也不差這一個啦!!

所以說要取得個人資料何需Foxy. 一個爛網站就能讓你脫光光

P.S. 一些較為敏感的個人資料在截圖上已先模糊處裡了,但是有概念的人隨便一搜還是的出來,那些都是完全被曝露在網路上的公開資料

沒有留言: