大家有沒有注意到，近幾年網吧都改名叫網咖了，不明真相的我上網百度了一下網咖的由來：

1、網吧已經處於低迷狀態，單純依靠上網打遊戲無法發展下去。要發展必然要有所改變，網吧以前給人的第一印象就是機子破舊，髒亂差，改為網咖不僅感覺高大上，也有個好的印象。

2、網吧經過轉型後，有了餐飲服務，讀書專區，競技平台，良好的環境和服務，這些都表明了它已經不是單純的網吧，是綜合型娛樂地點，為了區別，就要用網咖。

3、在眾多某某網吧裡面出現了某某網咖，無疑是吸引人的，同時形成一個競爭，在同等覆蓋範圍內同時出現網吧和網咖，雖然消費可能更高，但獲得的體驗也值得付出，選擇網咖的人可能會更多一點。

以上是關於網咖的介紹，也是我們這篇文章的「案發地點」，事件發生在是今年國慶節期間，因為家裡的路由器壞了，導致網路中斷，於是小白（一個白帽子的昵稱）跑去網咖準備繼續玩遊戲。

當他興奮的登錄遊戲界面時，發現遊戲旁邊彈出了一些小廣告，如下圖：

順手點了一個最大的廣告進去，發現界面是這樣的：

看起來好棒哦，充值後戰鬥力一定會更強，於是他忍不住打開了支付寶，望著僅有3塊2毛6的餘額陷入了深深的沉思。

突然他靈機一動，想起了滲透技術，他開始觀察這個網站，從URL上發現

這是目錄，如果去掉目錄是什麼樣子呢？

遇到這種沒驗證碼的框框肯定要burp一下，畢竟爆破一下，就能得到賬號和密碼了。

BUT，這是一個沒許可權的：

於是就找啊找，終於找到一處越權，可以提升為超級管理員，但是不能提升到系統管理員，可能是策略吧，沒關係，慢慢接著來。

進來以後發現，用戶還真是不少啊，於是腦袋裡冒出個邪惡的小想法。

反正都進來了，乾脆一不做，二不休，發現後台有一處發布內容可以XSS，而且日流量也不小，那就給群里的大佬做做流量吧。

繼續往下看：

套猴子的遊戲，5元抽一次，可以得到2至5個Q幣，但是其他的遊戲都是糊弄人的了。

那今天不拿它shell，都感覺對不起自己。於是開始找上傳點，發現在修改獎項圖片的地方，可以上傳圖片。

通過測試是前台JS驗證後綴，那麼就上個馬兒吧。

所以就這樣吧。站沒搞，也沒給自己刷，畢竟我是一個道德品質良好的白帽子，給自己的自律鼓鼓掌！最後我想說拒絕抽獎，從我做起！

看完這篇白帽子的自述，我深深覺得專業技能固然重要，但是具備一個良好的道德品質和自我修養更是重中之重，如果讓一個居心叵測的技術人員去排除漏洞，那給企業帶來的損失不可想像。

企業如何能找到靠譜的白帽子呢？

i春秋旗下的有信眾測可以解決這個難題，入駐近萬名白帽子，已成功為300多家企業排除各種安全漏洞，企業的安全隱患得到了明顯的改善。根據實時更新數據可知：

沒有任何一家企業在網路安全方面可以做到絕對安全，安全都是相對的，是要在不斷排除漏洞和修復漏洞中去完善的，無論你是企業還是白帽子，都希望大家能入駐有信眾測，一起做網路安全的保衛者。

也許你只是對網路安全感興趣，也可能是網路安全的初學者，又或者是技術有待提高的專業人員，在這裡小編給大家提供一個技術交流群，你有任何技術問題都能在群里找到答案，一個集大咖，技術牛人，白帽子，安全人員從業者的聚集地！話不多說，進群聊吧。

http://weixin.qq.com/r/biknPxvE-kaBrV9c93x8 (二維碼自動識別)

推薦閱讀：