我为啥去扒拉那个烂网站?
我最近帮我那刚买房的大表弟看点资料,你知道,新楼盘嘛总是要查查物业合同、小区规约之类的东西。结果跑到那个叫“公寓大楼_官方网站”的破网站上一看,我火就上来了。这网站做得跟屎一样,估计是十年前的模板,排版乱七八糟,图片全都加载不出来。我点进去找资料,找了半天,都是些空页面或者“正在建设中”的提示。
按理说,我就是个嵌入式研发的,对这帮搞网站的本来没啥兴趣。但那会儿我正休假,闲得蛋疼,看着这个官方网站做得这么烂,一股职业病就犯了:我就想看看他们到底能有多糊弄人。
这事让我想起我当年那段经历。你知道,我以前是搞游戏后端的,那日子过得叫一个不规律,天天加班。后来被公司摆了一道,一气之下转行进了国企研究院,那才叫一个清闲。现在日子舒坦了,但手痒的毛病没改,看见这种低级错误就忍不住想动手,就跟看到地上有钱不捡起来难受一样。
动手:定位那个“绿色下载”
既然前台的链接都是坏的,我就琢磨着这帮人肯定把有用的东西扔在后台的某个角落里,期待没人发现。我立马就动手了,没用啥复杂的工具,就用了一个平时查错的小软件,开始扫这个网站的目录结构。
我一开始是奔着/admin或者/upload这些常见的地方去的,结果啥也没扫到,防火墙倒是不停地弹警告。我寻思这帮人可能连正常的后台路径都没用。我就把目标缩小了,专门盯着那些名字特奇怪、像是临时搭建的文件夹名字扫过去。
扫了大概半小时,终于在网站的根目录下的一个文件夹里,发现了端倪。那个文件夹名字叫得特别正经,翻译过来就是“环保与可持续发展资料区”,点进去一看,好家伙,里面塞了一堆文件,这个入口就是那个被他们称为“绿色下载”的栏目。
深入实施:发现那堆不该有的东西
我当时以为,所谓的“绿色下载”,顶多就是几张PDF格式的宣传单,或者一些关于节约用水的PPT。结果我错了,大错特错。
我点进去,浏览器直接显示了整个目录结构,这帮人压根就没设置目录权限!简直是新手中的新手犯的错误。一堆文件密密麻麻地排在那里,文件类型五花八门:
- PDF和DOC:这倒正常,什么消防检查报告、物业维修记录。
- EXCEL表格:这就不对劲了。我随便点开一个名字叫“A栋业主入伙清单_FINAL”的表格,里面清清楚楚地写着好几百户人家的名字、房号,甚至还有身份证号码的后四位和联系电话。这TM是机密信息!
- ZIP压缩包:我又下了几个压缩包。这帮家伙更牛逼,一个包里是他们给开发商提交的“网站后台数据库备份”,另一个包里居然是他们网站的原始代码和配置信息。密码?文件名就叫。
我当时直接就愣住了。我只是想找个物业合同,结果直接把他们家底给扒出来了。这网站的安全意识,简直是零。那个“绿色下载”根本就不是什么环保专区,就是一个没设密码的公共文件服务器。
我抓紧又翻了一遍那个数据库备份。我发现这个网站的开发团队,根本就不是专业的。他们的数据库结构命名混乱,很多字段都是中文拼音缩写,一看就是找了个外包工作室,用最便宜的价格草草了事,连基础的安全配置都没搞定。
总结与教训:这帮外包是真不靠谱
我折腾了差不多三个小时,把能下载的都下载了一遍,然后立马删除了,这种涉及个人隐私的东西,我可不敢留着。我把情况告诉了我表弟,让他去跟物业反映这事,让他们赶紧把网站修
这件事情给我最大的感受就是,现在市场上很多所谓的技术团队,那真是滥竽充数。他们拿着开发商的钱,用着开源模板,随便搭个服务器,把文件一扔,就敢号称“官方网站”。他们根本就没把安全当回事,觉得一个小小的公寓网站,没人会去关注。
他们把那些机密数据,比如业主信息,直接当成普通的“绿色下载”资料一样,堆在任何人都能访问的角落里。这不仅仅是技术问题,这是责任心缺失的问题。
我以前在老东家的时候,虽然卷得要死,但起码我们对数据安全是看重的。哪像这帮人,为了省事,什么都敢往公网上一丢。我那天要不是闲得慌,被那个烂网站气到想动手,这些信息可能到现在还在那里裸奔。
下次再看到这种名字叫得特好听,比如什么“智慧社区平台”或者“绿色便捷入口”的链接,我肯定会多留个心眼。因为往往这种最容易被忽视的地方,藏着最大的漏洞。
我有点想给他们发个邮件提个醒,但转念一想,他们连官网都能做得这么烂,大概率也看不懂我的邮件,或者直接当我是神经病。算了,我还是继续我的嵌入式开发,朝九晚五舒服多了,至于这帮烂摊子,就让他们自己慢慢收拾去。