站内搜索

搜索

手游源码-游戏源码-棋牌源码资源网-亲测源码-游戏搭建-破解游戏-网站源码-qq技术

100金币/天 购买

我可能在无意之间,破坏了黑客窃取西安市民数据的计划

17

主题

80

帖子

1965

金币

蓝钻会员

Rank: 6Rank: 6

积分
2187
发表于 2022-3-6 09:59:39 | 显示全部楼层 |阅读模式
我可能在不知不觉中破坏了黑客窃取西安市民数据的计划。这几天,我和几位热心的技术专家一起研究了西安益财通,丰富了一些证据。直到那时我才发现我的文章令人震惊。有充分的理由相信某个黑客正在计划。

故事从我搜索“.”开始。不幸的是,我离真相只有一键之遥。

那个时候,我没有看到一个“。” 西安易财通小程序使用的服务地址列表中的服务地址?

然后我例行搜索,在某个代码库中找到了相同的代码。我当时太紧张了。我误以为这个网站是代码库的镜像,所以我把核心线索轻描淡写,真相就在这个网站上。

单击此链接,我找到了此代码库和代码。我刚回到这个代码库的首页——猜猜我会找到什么?

西安易Y码通小程序的全部代码我来找!!!而在我的文章发表后,代码库的维护者以光速下线了代码库。好在网页上的缓存还在,可以证明我说的是真的。

这是2021年12月24日的缓存,代码库的IP地址是117.32.154.22,和之前核酸的地址一模一样酸测预约小程序,对吧?由此可见,可以在公网上搜索到的代码库,很可能就是西安易码通小程序的代码库!



让我们看看这个代码库中有什么。

1、xian-code-西安一码通讯微信小程序,最后更新于2020年9月15日

2、-微信小程序-防疫码(差点少打了一个i),最后更新日期为2020年9月30日

3、核酸检测预约小程序,最后更新日期为2021年11月22日

4、 - 控制台,最后更新于 2020 年 7 月 20 日

很合理,甲方提出西安一马通应该增加核酸检测预约功能,然后开发者将“核酸检测预约小程序”代码添加到这个代码库中,并正式部署发布。证据就在西安当地的宝物上。



我再查一下这个代码库的IP位置(117.32.154.22),也在陕西电信。

有网友向我爆料,他按照我的提示搜索了这个,并找回了真正的仙码仓库。对比代码,与西安易财通的代码高度相似。

我用公开信息搜索,发现相关开发者的注册信息是某公司人员的公司邮箱,是外包供应商之一,而另一开发者,从公开信息来看,似乎是外包的。所以请不要再抱怨我了,我说的是实话。如果我做错了什么,我会被老老实实的骂。如果你做错了西安源码时代,请立正被骂,好吗?

从上面的证据链来看,这个代码库中的代码很可能是西安易码通小程序的源码,而这个代码库是前端团队在开发时的私有仓库。

将涉及西安1300万人口的防疫健康码信息系统源码放到公网代码库上,开发团队的细粒度管理和安全意识真的弱到让人气愤。

太不规则了!

小程序相当于前端。将代码库放到公共网络上,意味着所有的源代码完全暴露在互联网上。黑客可以在不抓包的情况下看到接口如何请求,例如如何调用西安大数据管理局网站。

第一个风险是黑客可以通过爆破窃取数据。第二个风险是黑客可以随时随地对界面进行ddos攻击,直接瘫痪网站;我现在怀疑1月4日,西安一码通服务将推出。崩溃,是不是被一些恶意的人ddos攻击了。

这也可以解释为什么黑客故意创建了一个李鬼网站。为什么所有二级域名都一样?因为黑客已经看过所有对外开放的西安易财通的源代码,所以黑客一清二楚。

第三个极低的可能风险是黑客可能会利用这段代码在美国服务器上搭建一个完全相同的西安一马通,相当于创建了一个立规网站。反正生成的二维码和界面都是一模一样的。不过,这种假防疫码小程序,是绝对不可能通过腾讯的审核的。

而第四种可能性最小的风险是黑客先破解了117.32.154.22的代码库,然后提交了一个修改,其中的URL是变成; 接下来,利用DDoS瘫痪西安一马通,押注开发组回滚历史版本,实现灵猫换太子的操作。

事实上,12月22日,西安易财通已经回滚了一次。但是,如果小程序代码中的业务域名没有配置在白名单中天外神坛源码网,则根本无法运行。那么,会不会是业务域名被改了,导致1月4日西安易码通又一次崩溃了呢?

我查看了注册的宁某某,也找到了他的QQ(已经隐藏了),通过注册邮箱发现这位大哥一直在注册各种奇怪的域名组合,

那么大部分域名解析地址都会被引流到同一个IP地址103.224.182.249,但是他注册其他域名的时候,他基本上只绑定了一个第一个级域名,为什么注册后会注册9个和正版李逵一样的二级域名?这不能用热来解释。

打开他注册的域名,比如,长这样;

一路点开,发现会通向一个网站,而这个网站也让我有些不寒而栗。让我们感受一下。但是我对这块的原理了解不多,希望高手能帮帮我。

总结

1、开发团队层层外包西安源码时代,管理松散,甚至代码库还不够规范,无法将代码库放到公共互联网上,还被搜索引擎检索。怀疑黑客入侵此代码库后端的原因。



2、西安易财通开发团队也使用内网穿透服务,​​存在严重的数据安全隐患——数据到第三方后,谁来保证数据安全?这是西安市民的个人信息和防疫数据。

3、宁某某于2021年12月31日建立高仿李贵网站,注册了9个与原版完全相同的二级域名。目的不明,但绝对不是好人及以上。此人注册的其他域将指向一个从事医学研究的英语网站。

4、2022年1月4日,西安易财通再次坠毁。次日,西安大数据管理局局长刘军被免职。

开发团队存在漏洞,管理松散,有人建了一个高质量的仿网站,西安一马通两次倒闭。有什么联系吗?外人不知道。

但是,西安易马通花费了2583万(来自西安市大数据资源管理局2020年部门决算(汇总)),其中数百万用于安恒信息的安全产品,以及网络安全服务。金星392万的外包,不能说不关心安全,但是受不了开发组把代码库放到公网上的操作,这是一堵自毁的安全墙!

不知道西安一码通停机背后有没有黑客,进行定点爆破也很容易。

互联网时代,必须时刻牢记业务和数据安全意识;因为你不知道有多少双眼睛在偷偷地注视着珍贵的数据,而确保安全需要大家的共同努力。我的微信“”,欢迎热心网友加我提供线索,大家就是我,我就是大家。

PS1:感谢一位不愿透露身份的热心开发者的技术指导!

PS2:互联网时代,你了解信息搜索的价值吗?

PS3:源代码放在公网上的事实超出了我的理解。这就像把金库的钥匙放在银行门口的石狮嘴里。公司应该为自己做这件事。
【天外神坛】免责声明及帮助
1.重要:如果遇到隐藏内容回复后显示为代码状态,直接刷新一下页面即可解决此问题。
2.本文部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
3.若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。
4.如果本站有侵犯、不妥之处的资源,请在网站右边客服联系我们。将会第一时间解决!
5.本站所有内容均由互联网收集整理、网友上传,仅供大家参考、学习,不存在任何商业目的与商业用途。
6.本站提供的所有资源仅供参考学习使用,版权归原著所有,禁止下载本站资源参与商业和非法行为,请在24小时之内自行删除!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

老群被封加此新群不迷路。
上个主题 下个主题 快速回复 返回列表 客服中心 搜索 QQ加群
上个主题 下个主题 快速回复 返回列表 客服中心 搜索 QQ加群

QQ|Archiver|小黑屋|天外神坛

湘ICP备2021015333号

Powered by 天外神坛 X3.4 © 2020-2022 天外神坛