免责声明:文章来源于真实事件,关键信息已经打码处理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
事件起因是有一位师傅发现有个违法的app,而且通过查找app接口信息,发现该app后台交互信息都指向了一个web网站,随后便发生了这个故事(没有授权千万不要随便测试)
站点中直接出现微信、QQ等信息用来推广,能查找到个人
经过测试后发现站点并不存在漏洞,但是怎么看怎么怪,正常一个迂回策略的测试思路,拿icon去fofa上查一下相同站点。经过查询后发现国内竟然存在大量的同类型站点,站点内容还都是相同的,好家伙,这下弄明白了,站点全部被挂黑页了,还是直接挂了一整个网站上去。
因为涉及到的站点比较多,就问了一下大佬这种都会怎么处理
随即问了一下CNVD和教育漏洞平台群里的大佬们,需要怎么上报(感谢各位大佬指点)
后面莫佬也是回复了,确实存在该问题,可以提交报告(算低危,一个单位1Rank)
当然最后莫佬也说明了,只有学校和政府网站能上报,企业网站是不收的,如果有大佬知道企业怎么反应这个问题的话,也可以后台提醒我一下
