[閒聊] 原價屋你家網站漏水啦==
最近身邊懂一些資安的朋友發現這個
https://zeroday.hitcon.org/vulnerability/ZD-2020-00002
結果光是第一個 LFI 網站漏洞直到現在都還沒修 笑死
LFI 漏洞 可以藉由網頁讀取伺服器上的任意文字檔
包含伺服器設定檔、網站程式的 php 檔
所以我只要知道伺服器設定檔在哪裡
我真的可以知道...等等我怕被吉 QQ
所以原價屋快修漏洞嗎==
你不修漏洞我以後就叫你漏水屋
而且漏洞都被公開了
------
聽說在這邊反應問題會比較快(?
跟電蝦板關聯有點薄弱但大家還是要注意一下
以後在購物之前可以先去看一下上面網站
看一下該網站有沒有漏洞
畢竟我想大家都不希望自己的個資變成別人的報酬
QQ
--
買新的
他的網站主機確實是可以買新的了 (?
修漏洞好像比改價格的速度慢
無論漲價或跌價(
不只伺服器買新的以外,連相關人員都要買新的
先通通去罰站
※ 編輯: Arbin (140.134.226.20 臺灣), 10/18/2020 22:03:53居然還有開ftp port
ftp port 有開非常奇怪 雖然我沒有試他現在關了沒
電蝦是最大客服,但有包含漏洞檢舉嗎?
來這邊才會加速啊
可以zeroday了
好慘啊漏水屋,好險目前沒出啥大事...
原價屋都被Chrome分類到「不安全或危險」好幾個月了
w
還好啦,這家都是電話確認訂單,無線上金流,沒啥差
=../../../../../../../../../../etc/passwd
passwd檔案都看的到xddd
個資屋
用CHROME進不去的網站不意外
真的幾個月前用chrome要進原價屋就在擋了XD
有擋?都進得去啊?
他又不存信用卡有金流
但你電話住址還是會噴啊
網站設定檔外洩也會增加入侵風險
copy他的頁面到另一台vps上 放一個跳轉js在原來頁面
改掉收費資訊的方式 看會不會有傻刁直接付款XD
有沒有何時降價的漏洞
沒有降價的漏洞 QQ
然後 LFI 是真的有辦法 copy 頁面出來
電蝦居然有人在看Hitcon,佩服
大概網站整套都是外包的 買新的沒錯
有錢就是任信
他又沒金流 沒甚麼好擔心的
FTP為什麼會有命題老師之類的東西啦XD
相信我 他們不會修 賭1P
不知道 FTP 裡面的檔案感覺很鬧 XD
不會修那他的主機就要變成 CTF 靶機了 (?
這資料外洩是原價屋的客人GG啊
難怪他轉到蝦皮,就算關官網也還可以正常營運
所以會洩漏訂單嗎 我還記得我以前在哪家買零件,
過幾小時就打來說我的訂單設定錯誤要去atm操作,我
買的東西跟他說的一樣。我都稱之為資料庫位置給人
家dump出去的一清二楚。
實驗過程都公開在上面還算0日嗎…
他們家沒人懂這個,反正可以動就好了
傻眼 3月就通知 還不修復
反正是客人的個資,老闆沒虧錢就不在意
沒事不要亂試
那個三十年前的介面 呵
再問下去萬一關起來就變要排隊才能現場查價了(誤XD
他們家網站有論壇功能 而且我好像有註冊過 幹...
幾個月前ssl憑證過期後還直接把全站ssl都拿掉惹,
中間你傳了啥都馬看的一清二楚了
這0日會公開就是因為通報三個月公開了
這漏洞有機會挖到__________ 別亂戳(
喔幹我後悔講這句化了
用lets encrypt簽個SSL是有多懶
老闆荷包滿滿,然後省這些資安成本,呵呵
不PO過來就是繼續擺爛吧.從1月拖到現在...
admin/admin
用Firefox瀏覽罰站屋常常在憑證過期...
看來還是現場罰站下單安全嗎
每次開他們家網站都跳憑證過期
XD 原價屋嘛
你他馬當網站改https不用錢哦???
因為印象中coolpc他們網站從10多年來都是http而已
笑死,這點錢也要省。
排行榜第一名叫癡情法王XD
推好心
原價屋的網站文宣也是不斷盜圖來改,超沒水準,就不
要哪天碰到原作者來吉
幫高調
真的怕抱
阿伯出事了
所以我都用欣亞,原價屋介面真的不是人用的...
現在https是要什麼錢.. 證書免費的用一用就好了
但是我說真的原價屋那套論壇系統也是很老 我印象裡
還在用php4?
原價屋我都拿來看3C物價, 我覺得很方便又快速啊
原價屋有HTTPS喔,不過是免費,而且三個月過期一次
而且看起來是手動去更新的,所以常常過期
有門市真好線上查價門市交易
也不用怕甚麼訂單外洩,因為本來就跟公開差不多。
詐騙拿你家住址也沒用,有電話跟購買清單就夠了。
有 letsencrypt 之後改 https 成本很低吧?
然後原價屋是有 https 不過應該系統太舊之類的
過期前瀏覽器就會抱怨不安全了
這架構應該要更新應該很難,太習慣了
這就一直土炮的結果 連framework都不套
越改越多回不去了 只能打掉重練
沒差 原價屋沒金流 就電話外洩XD
欣亞我記得有大改版過一次 原價屋也該改版一下吧
架在phpBB上 八成舊版的 應該真的只能砍掉重練了
想當年論壇興旺時期phpBB和vBulletin對幹 後來又
冒出discuz搜刮上面兩個的市佔率
蝦皮、MEGA 用letsencrypt憑證
30年的網頁菜鳥敢大改?
最近常常開貴貴屋都跳憑證過期笑死
要補什麼 沒什麼資料有外洩的問題。不過就新手自嗨
HTTPS是真的不用錢啊 Let's Encrypt N年了 配自動
renew 根本不是問題
62
Fw: 警告!如果你是pc玩家,絕對不要開GTAV!作者: handofn0xus (你真是糟糕的小焰) 看板: GTA 標題: 警告!如果你是pc玩家,絕對不要開GTAV! 時間: Sun Jan 22 01:16:53 202340
[問卦] 台灣不是科技之島,怎麼資安爛成這樣?台灣不是號稱矽盾,科技之島 阿怎麼資安爛成這樣?台灣不是一堆資安人才嗎? 別說專業資安人才就連一般MIS都知道資安的重要性 MIS雖然對資安不一定專精,但好歹都有學過資安的基礎觀念吧 MIS發現資安漏洞通常會向上通報,並請軟體工程師盡快修補24
[情報] 白帽駭客直接在網路公開微軟Windows 11白帽駭客直接在網路公開微軟Windows 11高危險漏洞,只因懸賞獎金打骨折 量子位 量子位 發表於 2021年12月13日 14:00 各家作業系統以及大廠,都有準備一筆懸賞漏洞的賞金,鼓勵白帽駭客幫企業找到漏洞, 並且在漏洞被公布之前,廠商可以搶先將漏洞修補起來,皆大歡喜。 不過,最近GitHub 上突然有人上傳了一個可以利用Windows 11 最新漏洞的辦法,幾天之17
Fw: 警告!如果你是pc玩家,絕對不要開GTAV!作者: handofn0xus (你真是糟糕的小焰) 看板: GTA 標題: 警告!如果你是pc玩家,絕對不要開GTAV! 時間: Sun Jan 22 01:16:53 20239
[請益] 發現網站漏洞是否要回報?小弟最近發現某個付費網站有漏洞。 該網站的某隻API內容會公開其他使用者的個資, 使用該API的內容結合該網另一隻API, 就可看到對應使用者的付費文章。 因為小弟也是該網站的使用者之一,3
[情報] 因嚴重IE漏洞 微軟再為Win 7發佈安全更新轉自cnBeta 簡體不喜勿點 ---- 因嚴重IE漏洞 微軟再為已停止支援的Windows 7發佈安全更新 2020年02月21日 16:45 稿源:cnBeta.COM5
[情報] Windows含有一個未被修補的SMB蠕蟲漏洞Windows含有一個未被修補的SMB蠕蟲漏洞 文/陳曉莉 | 2020-03-12發表 微軟在本周二(3/10)的Patch Tuesday修補了115個安全漏洞,遺漏了一個原本要修補、 卻未修補的Server Message Block(SMB)漏洞,成功的開採將允許遠端駭客在SMB伺服器 或客戶端執行任意程式,由於它的嚴重性可能相當於EternalBlue攻擊程式所利用的4
[情報] Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞,恐被攻Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞,恐被攻擊者濫用,獲得高系統權限 文/周峻佑 | 2021-07-23發表 對於Windows使用者而言,這個月接連被資安研究人員發現PrintNighmare等多個漏洞,都 與列印多工緩衝處理器模組(Print Spooler)有關,攻擊者可濫用於本機提升權限(LPE ),有的甚至能用來遠端執行程式碼(RCE)攻擊。2
[問卦] 有沒有理組志工默默拯救世界的八卦最近資安界的大新聞 阿里巴巴雲端資安團隊Chen ZhaoJun發現log4j存在重大漏洞,並於11/24通報CVE及Apache基金會。 log4j為基於Java的紀錄檔紀錄工具,廣泛應用在網路伺服器中。此次漏洞可讓攻擊者藉由文字訊息便能入侵及控制伺服器。據悉全球有超過數百萬台伺服器可能受到影響,許多資安廠商皆稱此為近十年來最嚴重資安漏洞。