近年来很多黑客把目标锁定到了暴利的博彩网站,很多博彩平台开设在境外,由于平台内的资金池非常大,从事的行业又很多都是非法行为,所以很多黑客就打起了“黑吃黑”的注意,对这种**网站进行渗透和入侵,下边分享一个国外黑客入侵某博彩网站全过程!
当然,大伙也可以私信我们,加群或者加入圈子,我们一起学习探讨!!!
对这种**网站,大多数都是存在很多xss和sql注入(主要还是xss比较多),另外一方面的话就是对类似的源码进行一个白盒测试,浏览器打开主页某个地址,弹出来一个“博彩网站”打开网站其实网站的程序跟普通博彩网站没什么两样,都是直接右上角注册,然后注册马上就可以玩各种彩票什么的。
直接访问这个接口主页,是一个支付平台样子是这样的,还打着“某某科技”估计是想让人以为是正规的支付渠道。
来到一个商户登录页面,这里面进去肯定有不少功能测试。
其中我在一个JS页面找到多个有权限才可触碰到的操作js请求,但是其中有两个位置可以直接无权限请求,所以在测试漏洞过程中对于每一个点都要加以测试。
但是在接下来简单输入个单引号直接就报错 sql错误信息,对多个字符进行测试,发现就单引号会报错,那肯定有问题的,测试and证明了存在SQL注入
里面好几个银行卡号,其中账户里面有100多万人民币
他们还有一个后台,后台不方便截图出来,敏感内容较多,是这个支付接口的后台。
这是黑客攻防一次经历,希望大伙关注我们的头条号,这样可以看到更多精彩内容。我希望大伙吸取经验,然后学习更多知识,这是我们的初衷,最后可以私信小编,加群也可以加入我们的圈子一起探讨更高深的web经验。
