被践踏的冒险家官网

兄弟们，今天分享的这个事，说起来有点好笑又有点气人。我前两天晚上睡不着，就瞎JB点，突然就点进了这个“冒险家”的官网。我以前玩过他们家的一个破游戏，老早之前的事了，想着看看有没有新活。

一进去就感觉不对劲。那个页面加载慢得跟蜗牛一样，我随手 F12 调试模式就打开了，想看看是不是哪儿卡住了。结果这一看，直接给我看乐了。

我看到了什么鬼东西？

我发现他们家有个测试用的子域名，根本就没关！我直接敲进去试了一下，根本没做任何跳转或者权限校验。这谁顶得住！我开始动手，记录了几个重点：

• 第一个，登录接口返回信息是明文的。我随便输了个用户名和密码，直接告诉我哪个字段错了，等于在教我怎么试。
• 第二个，他们把几个版本的 API 文档直接挂在了一个开放的目录下面，甚至连目录浏览权限都开着。里面全是接口、参数、字段，跟裸奔没什么区别。

小编温馨提醒：本站只提供游戏介绍，下载游戏请前往89游戏主站，89游戏提供真人恋爱/绅士游戏/3A单机游戏大全，点我立即前往》》》绅士游戏下载专区



• 第三个，最离谱的是，我试着在搜索框里插了一句简单的 SQL 语句，它居然报错了，而且把后台数据库的字段名都给我吐出来了。我当时就愣住了，这官网简直就是个筛子。

我为啥要这么较真？

我以前给一个小的初创游戏公司做过一年多前端，当时我们为了赶项目，代码写得一团乱麻，上线之后也是各种补丁。后来公司黄了，老板跑路，那些烂摊子就丢在那儿了。我当时就想着，这种事不能再发生了。

我看到这个“冒险家”官网，就像看到了我以前加班加点赶出来的那个破烂工程的影子。大家都是做项目的，都有难处，但是基本的安全意识和代码规范不能丢！看到这些，我真是心疼，这么大的一个官方网站，被人随便一戳就漏风，简直就是自找“被践踏”。

我花了一个多小时，把所有发现的问题都截图、整理、分类了一遍。我没做进一步的攻击尝试，也没去破坏什么，只是把这些东西当成我今晚的实践笔记。我的目的是记录，不是搞破坏。

我的想法是，别管你是大厂小厂，基本的安全检查和权限管控是不能省的。一个成熟的系统，不是看你功能多强大，而是看你有没有能力堵住那些最基本的漏洞。今天的实践就到这里，各位老铁，晚安。