[閒聊] 原價屋你家網站漏水啦==

看板 Pc_Shopping
作者
時間
留言 99則留言,65人參與討論
推噓 48  ( 49推 1噓 49→ )
討論串 2
最近身邊懂一些資安的朋友發現這個 https://zeroday.hitcon.org/vulnerability/ZD-2020-00002 結果光是第一個 LFI 網站漏洞直到現在都還沒修 笑死 LFI 漏洞 可以藉由網頁讀取伺服器上的任意文字檔 包含伺服器設定檔、網站程式的 php 檔 所以我只要知道伺服器設定檔在哪裡 我真的可以知道...等等我怕被吉 QQ 所以原價屋快修漏洞嗎== 你不修漏洞我以後就叫你漏水屋 而且漏洞都被公開了 ------ 聽說在這邊反應問題會比較快(? 跟電蝦板關聯有點薄弱但大家還是要注意一下 以後在購物之前可以先去看一下上面網站 看一下該網站有沒有漏洞 畢竟我想大家都不希望自己的個資變成別人的報酬 QQ --
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.134.226.20 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1603029312.A.04F.html
1Fmiroase: 買新的 10/18 21:58
2FArbin: 他的網站主機確實是可以買新的了 (? 10/18 21:59
3FJoyRex: 修漏洞好像比改價格的速度慢 10/18 21:59
無論漲價或跌價(
4Fdw7931425: 不只伺服器買新的以外,連相關人員都要買新的 10/18 22:00
先通通去罰站 ※ 編輯: Arbin (140.134.226.20 臺灣), 10/18/2020 22:03:53
5FE6300: 居然還有開ftp port 10/18 22:05
6FArbin: ftp port 有開非常奇怪 雖然我沒有試他現在關了沒 10/18 22:06
7Fxxxx9999xxxx: 電蝦是最大客服,但有包含漏洞檢舉嗎? 10/18 22:08
8FJoyRex: 來這邊才會加速啊 10/18 22:08
9Fs11924: 可以zeroday了 10/18 22:09
10Flee988325: 好慘啊漏水屋,好險目前沒出啥大事... 10/18 22:10
11FAquarius126: 原價屋都被Chrome分類到「不安全或危險」好幾個月了 10/18 22:12
12FAquarius126: w 10/18 22:12
13Fjeffccc: 還好啦,這家都是電話確認訂單,無線上金流,沒啥差 10/18 22:12
14Favans: =../../../../../../../../../../etc/passwd 10/18 22:14
15Favans: passwd檔案都看的到xddd 10/18 22:14
16Fpipi5867: 個資屋 10/18 22:14
17Fkennyhen: 用CHROME進不去的網站不意外 10/18 22:17
18FCrackedVoice: 真的幾個月前用chrome要進原價屋就在擋了XD 10/18 22:18
19Fnewz: 有擋?都進得去啊? 10/18 22:22
20Fvict1: 他又不存信用卡有金流 10/18 22:23
21FArbin: 但你電話住址還是會噴啊 10/18 22:31
22FArbin: 網站設定檔外洩也會增加入侵風險 10/18 22:31
23FMK47: copy他的頁面到另一台vps上 放一個跳轉js在原來頁面 10/18 22:33
24FMK47: 改掉收費資訊的方式 看會不會有傻刁直接付款XD 10/18 22:33
25Fu8702116: 有沒有何時降價的漏洞 10/18 22:34
26FArbin: 沒有降價的漏洞 QQ 10/18 22:40
27FArbin: 然後 LFI 是真的有辦法 copy 頁面出來 10/18 22:40
28FJKGOOD: 電蝦居然有人在看Hitcon,佩服 10/18 22:44
29Fleftless: 大概網站整套都是外包的 買新的沒錯 10/18 22:51
30Fconeflwer: 有錢就是任信 10/18 22:53
31FSeverine: 他又沒金流 沒甚麼好擔心的 10/18 22:54
32FSeverine: FTP為什麼會有命題老師之類的東西啦XD 10/18 22:56
33Fspfy: 相信我 他們不會修 賭1P 10/18 23:03
34FArbin: 不知道 FTP 裡面的檔案感覺很鬧 XD 10/18 23:03
35FArbin: 不會修那他的主機就要變成 CTF 靶機了 (? 10/18 23:04
36FJoyRex: 這資料外洩是原價屋的客人GG啊 10/18 23:11
37Fautoupdate: 難怪他轉到蝦皮,就算關官網也還可以正常營運 10/18 23:17
38Fltytw: 所以會洩漏訂單嗎 我還記得我以前在哪家買零件, 10/18 23:17
39Fltytw: 過幾小時就打來說我的訂單設定錯誤要去atm操作,我 10/18 23:17
40Fltytw: 買的東西跟他說的一樣。我都稱之為資料庫位置給人 10/18 23:17
41Fltytw: 家dump出去的一清二楚。 10/18 23:17
42Fiq1000x: 實驗過程都公開在上面還算0日嗎… 10/18 23:22
43Fashlikewing: 他們家沒人懂這個,反正可以動就好了 10/18 23:22
44Fasdg62558: 傻眼 3月就通知 還不修復 10/18 23:22
45Fdreamgirl: 反正是客人的個資,老闆沒虧錢就不在意 10/18 23:26
46FTFnight: 沒事不要亂試 10/18 23:30
47Fmaplefoxs: 那個三十年前的介面 呵 10/18 23:33
48Fntustjc: 再問下去萬一關起來就變要排隊才能現場查價了(誤XD 10/18 23:34
49Fw520670: 他們家網站有論壇功能 而且我好像有註冊過 幹... 10/18 23:36
50Ffree112136: 幾個月前ssl憑證過期後還直接把全站ssl都拿掉惹, 10/18 23:37
51Ffree112136: 中間你傳了啥都馬看的一清二楚了 10/18 23:37
52FArbin: 這0日會公開就是因為通報三個月公開了 10/18 23:46
53FArbin: 這漏洞有機會挖到__________ 別亂戳( 10/18 23:47
54FArbin: 喔幹我後悔講這句化了 10/18 23:48
※ 編輯: Arbin (140.134.226.20 臺灣), 10/18/2020 23:49:23
55FEuphokumiko: 用lets encrypt簽個SSL是有多懶 10/18 23:58
56Ffreshbox7: 老闆荷包滿滿,然後省這些資安成本,呵呵 10/19 00:00
57FJoyRex: 不PO過來就是繼續擺爛吧.從1月拖到現在... 10/19 00:12
58Fasdf3164: admin/admin 10/19 00:12
59Frobin80829: 用Firefox瀏覽罰站屋常常在憑證過期... 10/19 00:15
60Fcul287: 看來還是現場罰站下單安全嗎 10/19 00:39
61Faaron5555: 每次開他們家網站都跳憑證過期 10/19 02:01
62Fjet22662266: XD 原價屋嘛 10/19 02:03
63FWeAntiTVBS: 你他馬當網站改https不用錢哦??? 10/19 02:24
64FWeAntiTVBS: 因為印象中coolpc他們網站從10多年來都是http而已 10/19 02:25
65Fctes940008: 笑死,這點錢也要省。 10/19 03:14
66FQMO220: 排行榜第一名叫癡情法王XD 10/19 03:58
67Fluuuking: 推好心 10/19 04:09
68Fmenchian: 原價屋的網站文宣也是不斷盜圖來改,超沒水準,就不 10/19 05:19
69Fmenchian: 要哪天碰到原作者來吉 10/19 05:19
70Fderek371511: 幫高調 10/19 05:31
71Fericinttu: 真的怕抱 10/19 07:17
72Fadsl12367: 阿伯出事了 10/19 08:00
73Fas6633208: 所以我都用欣亞,原價屋介面真的不是人用的... 10/19 08:03
74Fhakugetsu: 現在https是要什麼錢.. 證書免費的用一用就好了 10/19 08:27
75Fhakugetsu: 但是我說真的原價屋那套論壇系統也是很老 我印象裡 10/19 08:32
76Fhakugetsu: 還在用php4? 10/19 08:32
77Fmit2502: 原價屋我都拿來看3C物價, 我覺得很方便又快速啊 10/19 10:25
78Fj9145: 原價屋有HTTPS喔,不過是免費,而且三個月過期一次 10/19 10:33
79Fj9145: 而且看起來是手動去更新的,所以常常過期 10/19 10:34
80Fchanollili: 有門市真好線上查價門市交易 10/19 10:37
81Fj9145: 也不用怕甚麼訂單外洩,因為本來就跟公開差不多。 10/19 10:50
82Fj9145: 詐騙拿你家住址也沒用,有電話跟購買清單就夠了。 10/19 10:51
83Fpig: 有 letsencrypt 之後改 https 成本很低吧? 10/19 11:41
84Fpig: 然後原價屋是有 https 不過應該系統太舊之類的 10/19 11:41
85Fpig: 過期前瀏覽器就會抱怨不安全了 10/19 11:42
86Ftomoon: 這架構應該要更新應該很難,太習慣了 10/19 12:19
87Fcreepy: 這就一直土炮的結果 連framework都不套 10/19 12:24
88Fcreepy: 越改越多回不去了 只能打掉重練 10/19 12:24
89FMrDisgrace: 沒差 原價屋沒金流 就電話外洩XD 10/19 14:57
90Foldriver: 欣亞我記得有大改版過一次 原價屋也該改版一下吧 10/19 15:30
91Fbw212: 架在phpBB上 八成舊版的 應該真的只能砍掉重練了 10/19 15:39
92Fbw212: 想當年論壇興旺時期phpBB和vBulletin對幹 後來又 10/19 15:40
93Fbw212: 冒出discuz搜刮上面兩個的市佔率 10/19 15:41
94Fc98406023: 蝦皮、MEGA 用letsencrypt憑證 10/19 16:40
95Fkingofsdtw: 30年的網頁菜鳥敢大改? 10/19 23:55
96FWindcws9Z: 最近常常開貴貴屋都跳憑證過期笑死 10/20 00:02
97Fntz21: 要補什麼 沒什麼資料有外洩的問題。不過就新手自嗨 10/21 12:05
98Fprotonchang: HTTPS是真的不用錢啊 Let's Encrypt N年了 配自動 10/22 18:38
99Fprotonchang: renew 根本不是問題 10/22 18:39

完整討論串

48 >> [閒聊] 原價屋你家網站漏水啦==
99 pc_shopping 2020-10-18 21:55

PC_Shopping 最新熱門文章

28 [閒聊] 匪佔區CPU發展
94 pc_shopping 2020-10-24 10:01