本文中所说的例子,也是真实案例。而且,这个漏洞的存在范围之广,简直是无法想象。苏南大叔眼看的周围的新老同事,就写过N次本文所描述漏洞。当然,大多数情况下,大多数人都是很不在意的。汇报完之后,被修改的概率也不是很大。苏南大叔表示很无奈啊~

苏南大叔:真实白帽案例:有待过滤的搜索条件 - hacker-search-params
真实白帽案例:有待过滤的搜索条件(图3-1)

本文中,苏南大叔描述的是上海某家大企业的网站,存在着该漏洞。因为苏南大叔和对方的管理员在同一个QQ群,所以也是和对方网络管理员全程直播相关过程的。所以,本文描述的是个白帽子行为,对方知情的。

漏洞描述

本文的漏洞就是搜索功能欠缺参数过滤,并且会把输入的参数显示在页面上。

  • 在安全领域,这个叫做xss漏洞。
  • seo领域,这个被引申为zf外链,是一门专门的课程。苏南大叔表示:真是有不怕死的啊,公开教唆学员去zf网站上去找这种漏洞并利用。对此作死行为,苏南大叔暂不做更进一步的表态。不过从结果上看,确实在zf网站领域,这种漏洞真心确实是一抓一大把。

后记

同苏南大叔汇报的白帽漏洞一样一样的,对方管理员看到了相关的截图展示之后,虽然表示特别惊讶。但是多半年过去之后,仍然没有做任何的修改。苏南大叔,询问是否可以作为案例写出来,管理员表示同意。截至到发稿,对方中文网站已经修复此漏洞,但是其英文网站,依然存在此漏洞,这里苏南大叔表示不明觉厉。

另外不得不提,存在此类似漏洞的某某互联网站,连续多年电话通知/QQ通知,都坚定不移的不修改,根本不把用户的数据安全放在心上。苏南大叔目前已经表示麻木,自生自灭吧。

总结

恪守白帽测试准则,本博客中所有的白帽类的文章,都会遵守职业操守,通知对方相关结果的。带poc的文章中,也会对相关敏感内容,做加密处理,谢绝跨省。

如果本文对您有帮助,或者节约了您的时间,欢迎打赏瓶饮料,建立下友谊关系。
本博客不欢迎:各种镜像采集行为。请尊重原创文章内容,转载请保留链接作者。
本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享。
转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议。
未经许可,规模化镜像抄袭本站内容的行为,将会根据有关法律法规进行维权。
程序如此灵动~》下所有原创文章,如被用于商业用途,请您按规定支付稿费。

 【加群】加入QQ群【175454274】和大家一起讨论这个问题

 【源码】本文代码片段及相关软件,请点此获取

 【绝密】秘籍文章入口,仅传授于有缘之人   php    safe

本站的忠实读者小伙伴,正在阅读下面这些文章: