今儿个碰巧刷朋友圈,瞅见老同学发了个截图抱怨:"阿西美女室友这个网站注册非要身份证正反面?" 我心里咯噔一下——啥网站这么虎?好奇心一上来,立马就决定动手扒一扒它到底安不安全,特别是咱最关心的隐私问题。
准备家伙事儿
说干就干!我先用备用邮箱注册了个账号,特意选了张网图当头像。填手机号那会儿我留了个心眼儿,用的是临时号码平台生成的虚拟号。提交前我还心里嘀咕:这破网站验证码咋刷新了八遍才看清?
撞上隐私墙
刚登录成功,后台直接弹窗让我"完善安全信息"。点进去一看好家伙,身份证、真实姓名、住址三大栏明晃晃摆着,旁边小红字标注"租房认证必备"。我随手填了个假的提交,结果系统秒弹警告:"信息核验失败,请上传身份证原件照片"!当时我就皱眉头了——这摆明了要用户脱光了往里跳!
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
动手翻后台
我顺手开了个抓包工具想看看流量走向。刚点完租房申请按钮,工具里突然飙出几条明晃晃的请求:
- /user/idcard_upload 请求里身份证号居然是明文传输
- /api/location 把我浏览器定位坐标全薅走了
- 最离谱的是有个叫 /log/behavior 的接口,连我鼠标在搜索框悬停几秒都记!
我试着把抓到的token塞进另一个浏览器,好嘛直接能进后台改密码!后背当时就冒冷汗了。
搞点小破坏
憋着火继续测。我在删除租房记录的功能里鼓捣半天,突然发现个邪门的漏洞——把订单ID改成别人的号,居然真能删掉陌生人的订单! 截图发给技术部的朋友看,他秒回三个裂开表情:"这服务器怕不是没关门!"
收拾烂摊子
临走前我把测试时上传的假资料全删了,结果在"已删除"文件夹里又看见它们阴魂不散!点了彻底删除后刷新页面——那些信息又回魂了! 咬着牙手动把头像换成纯黑图,住址栏改成一串乱码,折腾半小时才勉强擦干净痕迹。
血泪总结
这趟浑水蹚完算是开眼了:
- 敏感信息全裸奔:身份证号像菜市场吆喝似的满网传
- 删数据纯属逗你玩:点了删除就跟扔进回收站似的,管理员指不定啥时翻出来
- 验证系统纸糊的:改个ID参数就能捅别人老窝
要是你真急着租房,建议:用完后立刻改密码!所有资料能填假就别当真!上传过的身份证照片赶紧找客服闹着删! 反正我是连夜注销跑路了,这地方多待一秒都怕裤衩子被人看光光!
