福利漏洞
以前见别人撞到腾讯的BUG,随便点点就免费充Q币,非常羡慕。现在手上也有这么一个好处,考虑再三,决定为大家公开这个重磅福利!冲一次人气!
有没有想过不考试直接拿各种证书的?这可能是有些人的梦想吧,现在就这么一个好事:
(简述)
如题所述,我这里有一个证书系统的BUG(hightit.com),暴露了后台一个入口,任何人都可以不经考试录入自己的信息,从而获得计算机能力证书。
知道一段时间了,握着也没啥用,今天为止亲测仍然有效!!虽然不是我发现的,但我愿意分享给大家一起学习一下。虽然直接为自己注册个能力证书似乎是一个非常爽的事,但这种还是付出过努力才好。(之前在CSDN居然有人私信问我说能不能拿着接口去卖证书,我只能说任何后果概不负责,反正我是不会去做的……!这种漏洞随时就会被修复)
昨天在邻居的要求下,试着录入了他家小孩:一个5岁女孩拿到通用编程能力证书……邻居说要入学的时候打印给学校看(掩面)
(操作方法直接快进在文尾)
心急的朋友直接到后边看怎么操作,前边我也想聊两句关于这个证书和这个事情的看法
对这个证书的看法
在国内行情我们还是一定程度上会考虑用各种证书给自己贴金的,视环境不同重视程度不同。
上他的网站hightit.com了解,可以看出来这个证书是一个商业的技能证书。HighTIT品牌意思我感觉可能是示意高级IT能力证书。从网站上看虽然包含了几个语言方向,但主要细分的能力在前端方面(很明显是产品线早期的方向选择)。仔细研究过以后,我对这个证书的评价是相当高的(细思极恐的),所以放出他的BUG也是基于这种很复杂的心情。
第一个让我害怕的是这家机构对证书的发放居然细化到了技术上的每一个小框架或者一些细分语言,要知道,别说细分语言,就算针对一个语言或技术方向的能力认证,这过去都是不太存在的。你想想,以前是不是比较熟悉的证书只类似这种“N级计算机等级考试和证书”。Hightit这种细分认证意味着什么?
我做过很多个技术团队,其间招过面过无数人,但不夸张地客观反省,招人过程感觉占7分,学校文凭论出身,颜值气场有加成(开玩笑的,但是真实的玩笑)。什么计算机等级考试,只是我对于他经历想象的一个组成。
然而,然而如果我本来想要要求的技术结构,语言之类,都有一个真正针对性的能力证书系统,我想大概率自己或别人是难以不考虑的……这对我招人效率来说似乎是好事,可是事物都有两面性,想想以后别人评价我,我他X的这么多年的资历本来直接跳槽展示项目、团队情况就好了,如果未来还要求我去展示细分能力的高级证书?那对我个人来说是难以接受的!这只是我细思极恐的第一个点。
你说,你有漏洞了你自己注册证书啊。不好意思,我这个漏洞也是朋友偶然发现了,弄给我玩玩的,不是黑到后台了,范围有限,而且未来他真的覆盖了所有的技术分类,我现在还能预注册?
其实我想说的是,这种证书形式给我呈现了某种趋势。我看好他,但从个人来说并不特别喜欢这种未来会被影响的感觉。
就聊到这吧。其他自己体会
关于漏洞
hightit这个网站,因为拿到了这所谓的漏洞以后,我还是去试着爬了一下。以我专业的技术眼光来看,安全性还是挺严谨的。给大家公布的这个漏洞严格意义上讲是一种人为操作上的失误。甚至腹黑点去猜,我认为更象是涉事员工自己埋下的,目的是谋私利,与技术和架构本身无关。就像我怀疑以前腾讯Q币轻松点击就可以充值的漏洞,也是这么回事。
大家看我后边写的具体的操作指南,原理就是在已经过期的活动页面,有一个分界线,其实原来是按钮,当前商品通过这个微不可及的按钮就能打开一个不需身份认证的后台测试接口。如果不是无聊或者用爬虫分析是不会注意到的。我朋友就是后者,这是他业余针对这个网站做一些“功课”的意外收获。
那么正常善意地推测,这个界面是测试做线上完成测试的一个端口。但至于这个端口不需要登录,以及链接会出现在过期的产品页中,我只能恶意地推测,这是权限有限的测试相关员工在谋私利了。
再进一步,为什么这个内部端口测试还有要付费的入口?为了完整的测试?合理。但如果套上我刚才的恶意揣测,我就觉得这是蛀虫的话真是绝了!后台证书的数量与营收一定是被公司管理层常常统计的数据,如果空有证书加入但没有营收没两天就暴露。而在折扣的“生产测试”端口添加产品,又有营收数据,又有很大的利润空间!厉害啊,哈哈,我猜如此费心,这个端口录入的证书数据应该也难以追查。有一天甚至问责下来,恐怕也有很好的说辞解释,不了了之。
只能推理到这了。
另外整个网站系统其实安全措施非常好,每个页面ID是加过密的,也就是说网站失去入口的过期页面,除了拥有完整链接列表的内部人员,其他人是不可能找到每一个后门操作每一个证书的。包括我那发现后门的朋友,除了他当初用工具下载分析过的几个过期页面有记录,更多产品的后门他也不知道。
操作说明
好,分析了半天背后的故事和原理,来上干货。
如何操作证书来自己注册证书?上边也说清了,关键在于有后门的入口,我朋友也是过去下载页面才扫到那么几个。我打算放出两个影响不会太大的,但大家也感兴趣的:
第一个后门“通用编程能力证书”在这里放出,第二个想要的,给这篇文章点赞+评论+转发以后,私信找我就发(原谅我肯定也是有私心的),那么之后因为公开以后这种东西可能随时修复,失效了不要怪我!
1.后门地址:
藏在这个链接中:https://hightit.com/discounting/5b4b073154a4d
地址决定了后门对接的证书,所以这个地址只对应了“通用编程能力”
复制到浏览器打开会吧
2.后门按钮:
进入以后可以看到这个页面是打折的页面,但是已经失效,变成了灰色。
在最下边有两个按钮:“活动已过期”和“跳转至有效页”,就在这两个按钮中间有个线。
鼠标放到线上,会发现和过期按钮一样是禁止点击的状态,但是试着点一下,就会弹出一个页面!!
成功的话就会进入埋入的测试后门,关于这个后门的分析可以看我上一段。
3.注册证书
填写信息将直接生成你的证书,手机号虽然可能没那么重要,但是可以登录后自己查看证书的。
注意这里最后的“支付”有两个选项,默认是否的,但是生成的证书也是没有开放的,查不到,也就是这样生成的对我们来说是没啥卵用的!
我猜,这里作为硕鼠剽窃生产库掩人耳目的一个通道,恐怕他自己也是要花钱。如果你要想完整地体验这个后门的威力,还是要点击支付的是!还好这个后门是一个优惠通道的后门,这点钱没有压力。
4.成功的界面
可以看到证书号,直接打开官网首页:hightit.com
输入你的证书号,找到了!可以看到已入系统库,完全合法
再试着输入你的名字和身份证后6位一起,依然找到
成功!
第二个证书后门
哥们我是乐于分享的但也不是那么无私,还是希望大家也能支撑我。
我这里还有几个后门,还想要的请顺手点个赞、评论里留一句感谢,然后转发一下。那么接下来私信找我要即可。
我在后台可以看到所有评论点赞转载的朋友,所以大家不用担心我会无视,一定回复,直到失效为止。
气氛搞起来!
网友评论