种马V0.12官方网站安全评测报告！(使用风险规避技巧)

起心动念

前几天翻论坛，看见有人提“种马V0.12”号称功能贼强，一堆人在底下求官网地址。就爱手贱去扒拉这些所谓的“神器”，顺便练练手。琢磨着干脆做个安全评测，看它到底安不安全，要是真有问题也能给大伙儿提个醒。

搭台子开干

第一步：摸清门户。 直接搜了搜，这官网藏得也不算深。打开一看，嚯，页面搞得挺像那么回事，下载区、社区、教程啥的都有。我留了个心眼，没直接用自己常用电脑和网络环境，整了个干净的虚拟机，挂了层代理把真实网络环境先遮起来。

小编温馨提醒：本站只提供游戏介绍，下载游戏推荐89游戏，89游戏提供真人恋爱/绅士游戏/3A单机游戏大全，点我立即前往》》》绅士游戏下载专区

第二步：上手摸摸看。 先不忙下载，对着官网的各个角落点点戳戳。点“关于我们”，弹窗信息含糊得要命；点“用户协议”，内容一看就是复制粘贴的通用模板；最可疑的是点他们的“技术支持”邮箱，顺手在几个社工库里扫了一下——好嘛跟一堆垃圾营销邮箱搅和在一起，这第一印象分直接打对折。

第三步：下载包动动手脚。 还是没忍住点了下载链接。主程序安装包不算大。下载完顺手用多个在线杀毒引擎扫了一下壳，几个小众引擎报了“启发式风险”，虽然主流杀软都没吭声，但心里总感觉硌得慌。我又用工具去扒拉这个安装包里的文件，好家伙，发现了俩可疑的未签名dll文件，还有个启动脚本会偷偷连向一个国外的IP地址列表，问都不问用户一声。这后台小动作够勤快的！

第四步：测测网站皮实不皮实。

• 搞个注入试试：在他们登录框输入点`’ or 1=1–`，直接给我来个错误页大礼包，页面显示得倒是规规矩矩，但回头一看服务器返回的报错细节，好嘛直接把数据库表结构吐出来了！这等于把后台钥匙随地乱扔，太业余了！
• 管理员后台硬闯：抱着侥幸心理试试`/admin`、`/manage`之类的路径，结果`/console`直接跳出来了！虽然要密码，但这门户大开的样子吓我一跳。
• 上传点“小礼物”：找了个能上传头像的地方，把准备好的“测试小马甲”假装成图片，一传，居然通过了！文件直接就在指定目录执行了……这防御跟纸糊的没两样。