hermes渗透骗子网站

admin 2026-07-10 05:16:10 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档描述使用hermes工具渗透一个骗子网站的经历。发现网站后台缺失,所有API返回402和404。唯一真实的是客服系统,存在Swagger暴露、文件上传无认证、消息接口未授权等漏洞。进一步发现客服系统为关键词自动回复,充值凭证为照片而非链上校验。结论是防诈意识需加强。 综合评分: 68 文章分类: 渗透测试,漏洞分析,安全意识,实战经验,红队


cover_image

hermes 渗透骗子网站

原创

小强斗蟋蟀 小强斗蟋蟀

网安守护

2026年7月7日 21:32 北京

在小说阅读器读本章

去阅读

你们hermes都是用来干嘛的?我让它渗透了个骗子网站,发现后台都没有,所有api全是402和404,

唯一真的东西是一个客服kefu系统(Java/Tomcat),Swagger全裸奔、文件上传无认证、消息接口未授权。

翻了配置表、传了文件到他们S3、给管理员发了消息、发现就算是后台的客服系统,也是关键词自动回复!

充值也是照片凭证而非链上校验,

就这还能骗到人,防诈意识确实得加强啊


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网安守护 小强斗蟋蟀 小强斗蟋蟀《hermes 渗透骗子网站》

hermes渗透骗子网站 网络安全文章

hermes渗透骗子网站

文章总结: 文档描述使用hermes工具渗透一个骗子网站的经历。发现网站后台缺失,所有API返回402和404。唯一真实的是客服系统,存在Swagger暴露、文
评论:0   参与:  0