最近老刷到有人问夜幕之花官网靠不靠谱,干脆自己上手扒个底朝天。这玩意儿名字花里胡哨的,不亲自踩坑真不知道水多深!
第一步:装小白注册探路
半夜两点直接搜出官网(具体咋搜的不让说),首页那个闪瞎眼的粉紫色差点送我归西。点注册按钮,故意用弱智密码“123456”,结果居然通过了?!系统连个风险提示都没弹,我心凉了半截。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
- 填假电话:随手编了11位数,居然收到“验证成功”短信
- 乱写邮箱:瞎敲个“asdf@*”也能注册成功
- 头像传空文件:系统直接显示默认灰头像,连格式都不校验
注册完发现实名认证入口藏得贼深,在个人中心角落用浅灰色小字标着。不实名居然也能浏览商品,这合规性就离谱!
第二步:支付页面埋雷测试
挑了最便宜的9块9虚拟商品,到支付页盯着地址栏看——http开头的! 锁头标志根本不存在。页面还跳出第三方支付链接,点进去域名跳来跳去,像进了连环诈骗窝点。
更绝的是,支付成功跳转回官网时,订单号直接暴露在网址里。随手把尾数+1输进地址栏,你猜怎么着?居然能看到陌生人的订单详情!吓得我火速清除浏览器记录。
第三步:扒真实用户评价
翻了三小时论坛,五百多条吐槽里筛出点真东西:
- “充值后金币消失”:至少二十人说碰到系统吃钱
- “客服机器人复读机”:发十次“转人工”才能接通
- “凌晨频繁弹验证码”:睡醒发现收到几十条短信轰炸
- “同设备多账号被封”:有哥们借室友手机注册惨遭连坐
最绝的是某贴老哥的控诉:“买完会员三天,收到境外赌博短信”。底下八十多人跟帖+1,这数据泄露就差贴公告了!
整点实在话
本来还想测测数据加密,结果在提交反馈时手抖输了个<script>alert('凉凉')</script>,页面居然真弹出警告框!XSS漏洞这么明显,后台怕不是实习生写的代码。
现在知道为啥总有人喊被盗号了?这破站从注册到支付全是窟窿,安全防护基本靠玄学。写到这里手心都是汗,赶紧把测试账号注销了,您各位要试水的趁早收手!
(突然听见阳台有动静,起身发现是暴雨把多肉花盆冲翻了。收拾完满手泥巴,看着文档里记录的测试过程直摇头——有些坑,真不值得拿真金白银去踩。)
