文章总结: 文档描述使用hermes工具渗透一个骗子网站的经历。发现网站后台缺失,所有API返回402和404。唯一真实的是客服系统,存在Swagger暴露、文件上传无认证、消息接口未授权等漏洞。进一步发现客服系统为关键词自动回复,充值凭证为照片而非链上校验。结论是防诈意识需加强。 综合评分: 68 文章分类: 渗透测试,漏洞分析,安全意识,实战经验,红队
hermes 渗透骗子网站
原创
小强斗蟋蟀 小强斗蟋蟀
网安守护
2026年7月7日 21:32 北京
在小说阅读器读本章
去阅读
你们hermes都是用来干嘛的?我让它渗透了个骗子网站,发现后台都没有,所有api全是402和404,
唯一真的东西是一个客服kefu系统(Java/Tomcat),Swagger全裸奔、文件上传无认证、消息接口未授权。
翻了配置表、传了文件到他们S3、给管理员发了消息、发现就算是后台的客服系统,也是关键词自动回复!
充值也是照片凭证而非链上校验,
就这还能骗到人,防诈意识确实得加强啊
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网安守护 小强斗蟋蟀 小强斗蟋蟀《hermes 渗透骗子网站》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论