看板 PC_Shopping作者 Arbin ()標題 [閒聊] 原價屋你家網站漏水啦==時間 Sun Oct 18 21:55:07 2020
最近身邊懂一些資安的朋友發現這個
https://zeroday.hitcon.org/vulnerability/ZD-2020-00002
結果光是第一個 LFI 網站漏洞直到現在都還沒修 笑死
LFI 漏洞 可以藉由網頁讀取伺服器上的任意文字檔
包含伺服器設定檔、網站程式的 php 檔
所以我只要知道伺服器設定檔在哪裡
我真的可以知道...等等我怕被吉 QQ
所以原價屋快修漏洞嗎==
你不修漏洞我以後就叫你漏水屋
而且漏洞都被公開了
------
聽說在這邊反應問題會比較快(?
跟電蝦板關聯有點薄弱但大家還是要注意一下
以後在購物之前可以先去看一下上面網站
看一下該網站有沒有漏洞
畢竟我想大家都不希望自己的個資變成別人的報酬
QQ
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.134.226.20 (臺灣)
※ 文章代碼(AID): #1VZ4b01F (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1603029312.A.04F.html
※ 同主題文章:
[閒聊] 原價屋你家網站漏水啦==
10-18 21:55 Arbin.
→ Arbin: 他的網站主機確實是可以買新的了 (?2F 10/18 21:59
→ JoyRex: 修漏洞好像比改價格的速度慢3F 10/18 21:59
無論漲價或跌價(
推 dw7931425: 不只伺服器買新的以外,連相關人員都要買新的4F 10/18 22:00
先通通去罰站
※ 編輯: Arbin (140.134.226.20 臺灣), 10/18/2020 22:03:53
推 E6300: 居然還有開ftp port5F 10/18 22:05
→ Arbin: ftp port 有開非常奇怪 雖然我沒有試他現在關了沒6F 10/18 22:06
→ JoyRex: 來這邊才會加速啊8F 10/18 22:08
推 s11924: 可以zeroday了9F 10/18 22:09
推 lee988325: 好慘啊漏水屋,好險目前沒出啥大事...10F 10/18 22:10
→ Aquarius126: 原價屋都被Chrome分類到「不安全或危險」好幾個月了w11F 10/18 22:12
→ jeffccc: 還好啦,這家都是電話確認訂單,無線上金流,沒啥差13F 10/18 22:12
推 avans: =../../../../../../../../../../etc/passwd
passwd檔案都看的到xddd14F 10/18 22:14
推 kennyhen: 用CHROME進不去的網站不意外17F 10/18 22:17
→ newz: 有擋?都進得去啊?19F 10/18 22:22
推 vict1: 他又不存信用卡有金流20F 10/18 22:23
→ Arbin: 但你電話住址還是會噴啊
網站設定檔外洩也會增加入侵風險21F 10/18 22:31
推 MK47: copy他的頁面到另一台vps上 放一個跳轉js在原來頁面改掉收費資訊的方式 看會不會有傻刁直接付款XD23F 10/18 22:33
→ Arbin: 沒有降價的漏洞 QQ
然後 LFI 是真的有辦法 copy 頁面出來26F 10/18 22:40
推 JKGOOD: 電蝦居然有人在看Hitcon,佩服28F 10/18 22:44
推 leftless: 大概網站整套都是外包的 買新的沒錯29F 10/18 22:51
推 Severine: 他又沒金流 沒甚麼好擔心的
FTP為什麼會有命題老師之類的東西啦XD31F 10/18 22:54
→ spfy: 相信我 他們不會修 賭1P33F 10/18 23:03
→ Arbin: 不知道 FTP 裡面的檔案感覺很鬧 XD
不會修那他的主機就要變成 CTF 靶機了 (?34F 10/18 23:03
→ JoyRex: 這資料外洩是原價屋的客人GG啊36F 10/18 23:11
推 autoupdate: 難怪他轉到蝦皮,就算關官網也還可以正常營運37F 10/18 23:17
→ ltytw: 所以會洩漏訂單嗎 我還記得我以前在哪家買零件,過幾小時就打來說我的訂單設定錯誤要去atm操作,我買的東西跟他說的一樣。我都稱之為資料庫位置給人家dump出去的一清二楚。38F 10/18 23:17
推 iq1000x: 實驗過程都公開在上面還算0日嗎…42F 10/18 23:22
推 dreamgirl: 反正是客人的個資,老闆沒虧錢就不在意45F 10/18 23:26
推 ntustjc: 再問下去萬一關起來就變要排隊才能現場查價了(誤XD48F 10/18 23:34
推 w520670: 他們家網站有論壇功能 而且我好像有註冊過 幹...49F 10/18 23:36
推 free112136: 幾個月前ssl憑證過期後還直接把全站ssl都拿掉惹,中間你傳了啥都馬看的一清二楚了50F 10/18 23:37
→ Arbin: 這0日會公開就是因為通報三個月公開了
這漏洞有機會挖到__________ 別亂戳(
喔幹我後悔講這句化了52F 10/18 23:46
※ 編輯: Arbin (140.134.226.20 臺灣), 10/18/2020 23:49:23
推 freshbox7: 老闆荷包滿滿,然後省這些資安成本,呵呵56F 10/19 00:00
→ JoyRex: 不PO過來就是繼續擺爛吧.從1月拖到現在...57F 10/19 00:12
→ robin80829: 用Firefox瀏覽罰站屋常常在憑證過期...59F 10/19 00:15
推 cul287: 看來還是現場罰站下單安全嗎60F 10/19 00:39
--