2010-05-15

2010-05-15 原來GOOGLE SPIDER是個好駭客

在上週末(2010-05-09)曝光的網站漏洞
2010-05-09 取得個人資料何需Foxy. 一個爛網站就能讓你脫光光
今天看了下,居然在頁面上寫著
由於本網站受駭客入侵, 為免網友受進一步波及, 現緊急關閉本網站,並探究有效預防措施, 確認問題解決後再行開放, 做成網友不便及權益受損, 在此謹致上最大歉意!


看到這裡我又暈了,原來GOOGLE SPIDER也算駭客啊.看來還是搞不清楚問題在哪裡?

上一篇中我已經很客氣的把網站URL/名稱都蓋掉不直接SHOW出來,結果並沒有讓管理者/開發者有任何反省...

到現在(2010-05-15)事件曝光已經整整六天了,那些個資現在依然保留在GOOGLE上面.用特定關鍵字 依舊可以搜出那些會員的姓名生日電話地址..
上一篇最前面都寫上了..
如果發現自己的個資被GOOGLE抓到了,請參閱 如何移除Google搜尋結果中「危害隱私」的 Cache暫存資料?

連怎麼移除掉已外洩被GOOGLE抓到的資料方法都說了,還不去處裡?
相比之下去年戰國策所發生的事件處裡上還稍微好一點點,起碼曝光之後沒多久就請GOOGLE把那些CACHE給處裡掉了.

該網站的系統開發商(XX數位科技 )還搞不清楚問題在哪嗎?

既然如此就直接挑明說吧,在該開發商網站上列出的相關客戶網站CASE幾乎都有一模一樣的問題
也就是進入管理後台(/mag/ )的權限都是交由JAVASCRIPT來進行判斷.這樣的如果還搞不清楚怎麼補洞的話...那只能好自為之了.

管理者/開發者不去檢討這些資料為什麼會被GOOGLE SPIDER給爬出來,難道把問題都推給駭客就沒事了嗎?
照這個邏輯下來,GOOGLE就是世界上最厲害的駭客了.

2010-05-09

2010-05-09 取得個人資料何需Foxy. 一個爛網站就能讓你脫光光

2010-05-09 22:20 補充在前面
建議大家可以設定 Google 快訊來追蹤自己的一些個人隱私資料(姓名/身分證號/電話/地址/信用卡號......等等)是否有被暴露在網路上.
雖然Google 快訊只能做到事後通知,但起碼會比什麼都不知道來的強. 早點發現可以早點處理...
如果發現自己的個資被GOOGLE抓到了,請參閱 如何移除Google搜尋結果中「危害隱私」的Cache暫存資料?

2010-05-15 補充:
被GOOGLE CACHE住的個資依舊還在... 原來GOOGLE SPIDER是個好駭客
唉......
==============================================================================
今天看到一則新聞

用foxy盜個資 網購盜刷百萬元

刷爆近百人信用卡
警方調查,嫌疑人黃廉恩(27歲,有竊盜、詐欺等前科),擔任資訊業某公司遊戲管理員,涉嫌自97年6月起,利用下載foxy資源分享軟體,網路搜尋信用卡持有人,盜走存放電腦裡個人資料,取得信用卡號及檢核碼。

一時手癢用嫌疑人名字上GOOGLE搜了一下
結果又發現一個後台管理系統被GOOGLE給爬進去了 XD


既然知道該管理後台的URL,就可以用 site: 參數來鎖定目標向GOOGLE大神查詢
啊咧,又是兩千多筆啊


隨便按一筆進去,結果跳出一個Javascript的alert 無權限,請重新登入

可是如果用NoScript這個FireFox的Plug-In來把Javascript檔掉,就可以一覽無遺了




而且不光是看個資,整個後台任何操作都通行無阻

這網站管理後台雖然在最前面有做帳號密碼登入,
但是後面所有判斷完全交由前端的JavaScript來處裡,
因為他所謂的權限系統判定,只是在ASP產出的頁面前面插上這段
< language="JAVASCRIPT">
alert("無權限,請重新登入")
history.go(-1);
< / script >
不過不管是該出來還不該出來的其他資料全都老老實實的SHOW在底下..

這樣的網站管理後台也算是個極品了.

從GOOGLE CACHE頁面的紀錄來看,這些紀錄起碼存在GOOGLE上面超過20天了.


再來看看加入這個網站的會員條款


註冊會員時,必須確實填寫基本資料,告知真實姓名、電子郵件地址與相關資料等。

所有由會員提供的個人資料,均視為機密,在未經會員同意前,XXXX網站保證絕不將個人資料,洩露給XXXX網站以外之第三者。


囧rz... 以後你還敢隨便在網上確實填寫個人資料嗎???

相關網站資料因為程式缺陷或是管理疏失而被搜尋引擎抓出來外洩的案例已經夠多了,老實說也不差這一個啦!!

所以說要取得個人資料何需Foxy. 一個爛網站就能讓你脫光光

P.S. 一些較為敏感且與新聞中嫌疑犯無關的個人資料在截圖上已先模糊處裡了,但是有概念的人隨便一搜還是搜的出來,那些都是完全被曝露在網路上的公開資料

最後再低調補一刀 XD
直接把管理者原密碼噴到前端來~超帥氣的啦!!!