※ 本文轉寄自 ptt.cc 更新時間: 2020-10-19 01:52:06
看板 PC_Shopping
作者 標題 [閒聊] 原價屋你家網站漏水啦==
時間 Sun Oct 18 21:55:07 2020
最近身邊懂一些資安的朋友發現這個
https://zeroday.hitcon.org/vulnerability/ZD-2020-00002
原價屋 多個漏洞 - HITCON ZeroDay
多個漏洞 ...
多個漏洞 ...
結果光是第一個 LFI 網站漏洞直到現在都還沒修 笑死
LFI 漏洞 可以藉由網頁讀取伺服器上的任意文字檔
包含伺服器設定檔、網站程式的 php 檔
所以我只要知道伺服器設定檔在哪裡
我真的可以知道...等等我怕被吉 QQ
所以原價屋快修漏洞嗎==
你不修漏洞我以後就叫你漏水屋
而且漏洞都被公開了
------
聽說在這邊反應問題會比較快(?
跟電蝦板關聯有點薄弱但大家還是要注意一下
以後在購物之前可以先去看一下上面網站
看一下該網站有沒有漏洞
畢竟我想大家都不希望自己的個資變成別人的報酬
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.134.226.20 (臺灣)
※ 文章代碼(AID): #1VZ4b01F (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1603029312.A.04F.html
推 : 買新的1F 10/18 21:58
→ : 他的網站主機確實是可以買新的了 (?2F 10/18 21:59
→ : 修漏洞好像比改價格的速度慢3F 10/18 21:59
無論漲價或跌價(推 : 不只伺服器買新的以外,連相關人員都要買新的4F 10/18 22:00
先通通去罰站※ 編輯: Arbin (140.134.226.20 臺灣), 10/18/2020 22:03:53
推 : 居然還有開ftp port5F 10/18 22:05
→ : ftp port 有開非常奇怪 雖然我沒有試他現在關了沒6F 10/18 22:06
推 : 電蝦是最大客服,但有包含漏洞檢舉嗎?7F 10/18 22:08
→ : 來這邊才會加速啊8F 10/18 22:08
推 : 可以zeroday了9F 10/18 22:09
推 : 好慘啊漏水屋,好險目前沒出啥大事...10F 10/18 22:10
→ : 原價屋都被Chrome分類到「不安全或危險」好幾個月了11F 10/18 22:12
→ : w
→ : w
→ : 還好啦,這家都是電話確認訂單,無線上金流,沒啥差13F 10/18 22:12
推 : =../../../../../../../../../../etc/passwd14F 10/18 22:14
→ : passwd檔案都看的到xddd
→ : passwd檔案都看的到xddd
推 : 個資屋16F 10/18 22:14
推 : 用CHROME進不去的網站不意外17F 10/18 22:17
→ : 真的幾個月前用chrome要進原價屋就在擋了XD18F 10/18 22:18
→ : 有擋?都進得去啊?19F 10/18 22:22
推 : 他又不存信用卡有金流20F 10/18 22:23
→ : 但你電話住址還是會噴啊21F 10/18 22:31
→ : 網站設定檔外洩也會增加入侵風險
→ : 網站設定檔外洩也會增加入侵風險
推 : copy他的頁面到另一台vps上 放一個跳轉js在原來頁面23F 10/18 22:33
→ : 改掉收費資訊的方式 看會不會有傻刁直接付款XD
→ : 改掉收費資訊的方式 看會不會有傻刁直接付款XD
推 : 有沒有何時降價的漏洞25F 10/18 22:34
→ : 沒有降價的漏洞 QQ26F 10/18 22:40
→ : 然後 LFI 是真的有辦法 copy 頁面出來
→ : 然後 LFI 是真的有辦法 copy 頁面出來
推 : 電蝦居然有人在看Hitcon,佩服28F 10/18 22:44
推 : 大概網站整套都是外包的 買新的沒錯29F 10/18 22:51
→ : 有錢就是任信30F 10/18 22:53
推 : 他又沒金流 沒甚麼好擔心的31F 10/18 22:54
推 : FTP為什麼會有命題老師之類的東西啦XD
推 : FTP為什麼會有命題老師之類的東西啦XD
→ : 相信我 他們不會修 賭1P33F 10/18 23:03
→ : 不知道 FTP 裡面的檔案感覺很鬧 XD34F 10/18 23:03
→ : 不會修那他的主機就要變成 CTF 靶機了 (?
→ : 不會修那他的主機就要變成 CTF 靶機了 (?
→ : 這資料外洩是原價屋的客人GG啊36F 10/18 23:11
推 : 難怪他轉到蝦皮,就算關官網也還可以正常營運37F 10/18 23:17
→ : 所以會洩漏訂單嗎 我還記得我以前在哪家買零件,38F 10/18 23:17
→ : 過幾小時就打來說我的訂單設定錯誤要去atm操作,我
→ : 買的東西跟他說的一樣。我都稱之為資料庫位置給人
→ : 家dump出去的一清二楚。
→ : 過幾小時就打來說我的訂單設定錯誤要去atm操作,我
→ : 買的東西跟他說的一樣。我都稱之為資料庫位置給人
→ : 家dump出去的一清二楚。
推 : 實驗過程都公開在上面還算0日嗎…42F 10/18 23:22
推 : 他們家沒人懂這個,反正可以動就好了43F 10/18 23:22
推 : 傻眼 3月就通知 還不修復44F 10/18 23:22
推 : 反正是客人的個資,老闆沒虧錢就不在意45F 10/18 23:26
推 : 沒事不要亂試46F 10/18 23:30
推 : 那個三十年前的介面 呵47F 10/18 23:33
推 : 再問下去萬一關起來就變要排隊才能現場查價了(誤XD48F 10/18 23:34
推 : 他們家網站有論壇功能 而且我好像有註冊過 幹...49F 10/18 23:36
推 : 幾個月前ssl憑證過期後還直接把全站ssl都拿掉惹,50F 10/18 23:37
→ : 中間你傳了啥都馬看的一清二楚了
→ : 中間你傳了啥都馬看的一清二楚了
→ : 這0日會公開就是因為通報三個月公開了52F 10/18 23:46
→ : 這漏洞有機會挖到__________ 別亂戳(
→ : 喔幹我後悔講這句化了
※ 編輯: Arbin (140.134.226.20 臺灣), 10/18/2020 23:49:23→ : 這漏洞有機會挖到__________ 別亂戳(
→ : 喔幹我後悔講這句化了
→ : 用lets encrypt簽個SSL是有多懶55F 10/18 23:58
推 : 老闆荷包滿滿,然後省這些資安成本,呵呵56F 10/19 00:00
→ : 不PO過來就是繼續擺爛吧.從1月拖到現在...57F 10/19 00:12
推 : admin/admin58F 10/19 00:12
→ : 用Firefox瀏覽罰站屋常常在憑證過期...59F 10/19 00:15
推 : 看來還是現場罰站下單安全嗎60F 10/19 00:39
--
※ 看板: PC_Shopping 文章推薦值: 0 目前人氣: 0 累積人氣: 6052
→
guest
回列表(←)
分享