2010-05-09

2010-05-09 取得個人資料何需Foxy. 一個爛網站就能讓你脫光光

2010-05-09 22:20 補充在前面
建議大家可以設定 Google 快訊來追蹤自己的一些個人隱私資料(姓名/身分證號/電話/地址/信用卡號......等等)是否有被暴露在網路上.
雖然Google 快訊只能做到事後通知,但起碼會比什麼都不知道來的強. 早點發現可以早點處理...
如果發現自己的個資被GOOGLE抓到了,請參閱 如何移除Google搜尋結果中「危害隱私」的Cache暫存資料?

2010-05-15 補充:
被GOOGLE CACHE住的個資依舊還在... 原來GOOGLE SPIDER是個好駭客
唉......
==============================================================================
今天看到一則新聞

用foxy盜個資 網購盜刷百萬元

刷爆近百人信用卡
警方調查,嫌疑人黃廉恩(27歲,有竊盜、詐欺等前科),擔任資訊業某公司遊戲管理員,涉嫌自97年6月起,利用下載foxy資源分享軟體,網路搜尋信用卡持有人,盜走存放電腦裡個人資料,取得信用卡號及檢核碼。

一時手癢用嫌疑人名字上GOOGLE搜了一下
結果又發現一個後台管理系統被GOOGLE給爬進去了 XD


既然知道該管理後台的URL,就可以用 site: 參數來鎖定目標向GOOGLE大神查詢
啊咧,又是兩千多筆啊


隨便按一筆進去,結果跳出一個Javascript的alert 無權限,請重新登入

可是如果用NoScript這個FireFox的Plug-In來把Javascript檔掉,就可以一覽無遺了




而且不光是看個資,整個後台任何操作都通行無阻

這網站管理後台雖然在最前面有做帳號密碼登入,
但是後面所有判斷完全交由前端的JavaScript來處裡,
因為他所謂的權限系統判定,只是在ASP產出的頁面前面插上這段
< language="JAVASCRIPT">
alert("無權限,請重新登入")
history.go(-1);
< / script >
不過不管是該出來還不該出來的其他資料全都老老實實的SHOW在底下..

這樣的網站管理後台也算是個極品了.

從GOOGLE CACHE頁面的紀錄來看,這些紀錄起碼存在GOOGLE上面超過20天了.


再來看看加入這個網站的會員條款


註冊會員時,必須確實填寫基本資料,告知真實姓名、電子郵件地址與相關資料等。

所有由會員提供的個人資料,均視為機密,在未經會員同意前,XXXX網站保證絕不將個人資料,洩露給XXXX網站以外之第三者。


囧rz... 以後你還敢隨便在網上確實填寫個人資料嗎???

相關網站資料因為程式缺陷或是管理疏失而被搜尋引擎抓出來外洩的案例已經夠多了,老實說也不差這一個啦!!

所以說要取得個人資料何需Foxy. 一個爛網站就能讓你脫光光

P.S. 一些較為敏感且與新聞中嫌疑犯無關的個人資料在截圖上已先模糊處裡了,但是有概念的人隨便一搜還是搜的出來,那些都是完全被曝露在網路上的公開資料

最後再低調補一刀 XD
直接把管理者原密碼噴到前端來~超帥氣的啦!!!

7 則留言:

Tiffany 提到...

這篇好!

ღ蒼月™Computer+ღ 提到...

我剛剛找搜了一下
果然個人資料全部一覽無遺...
唉...
不知道是哪個公司架設的= =

『Black〃皓』 提到...

人肉搜尋就是這樣被搜到的..

Peter 提到...

這實在是太誇張了...

ikaritw 提到...

是好人,有人改過banner了,不然超可怕的啦!

小梅子 提到...

這真是自戰國策事件以來,最強最猛最安全的了 XD

Unknown 提到...

我在一般情況下搜尋那個後台管理系統還出現簡體字訊息!太酷了!

Microsoft OLE DB Provider for ODBC Drivers 错误 '80004005'

[Microsoft][ODBC SQL Server Driver][SQL Server]无法打开登录 'sun64' 中请求的数据库。登录失败。

/mag/DBLink.asp,行 5