公司新上线了一个内部审批系统,结果第二天就发现员工提交的报销单金额被悄悄改了;家里路由器后台默认密码没改,某天发现Wi-Fi被邻居连上还下载了大量视频;小程序登录后自动绑定了微信支付,但自己根本没点过授权……这些都不是段子,是真实发生的网络应用服务风险场景。
弱口令和默认凭证仍是头号漏洞
很多应用部署后,管理员图省事继续用 admin/admin、root/123456 这类组合,甚至压根不改厂商预设的默认账号。攻击者只要扫到开放的管理端口(比如 8080、9000),几秒就能登录进去。更麻烦的是,有些IoT设备连修改密码的入口都藏得极深,或者改完重启又恢复默认。
HTTPS 配置不当,等于把数据裸奔发快递
明明上了 HTTPS,但证书过期、域名不匹配、或只在登录页启用,其他页面走 HTTP——这种“半加密”状态,中间人很容易劫持会话 Cookie。有次帮朋友查他家智能摄像头App卡顿问题,抓包一看,设备配网时的 Wi-Fi 密码居然是明文 POST 到 http://api.xxx.com/v1/config,连基础 TLS 都没开。
第三方 SDK 暗藏“顺风车”
一个天气小工具 App,调用了 7 个广告和统计 SDK,其中两个 SDK 在用户开启定位后,会额外上传 IMEI 和剪贴板内容。这不是个别现象。很多中小开发者只看“接入快、文档全”,却没细读 SDK 的隐私协议和权限声明,上线后才发现用户投诉“刚复制银行卡号,马上弹出贷款广告”。
API 接口裸奔,谁都能调
某政务查询接口没做频率限制和来源校验,返回字段还包含身份证号后四位和手机号脱敏前的完整段。有人写了个脚本,跑了一晚上,导出了近两万条信息。修复方式其实很简单:
if (!req.headers.referer || !req.headers.referer.includes('gov.cn')) {
return res.status(403).json({ error: 'Forbidden' });
}配置文件误提交,Git 上全是密码
开发本地测试时把 config.php 里数据库密码写成 real_password123,提交代码忘了删,推到了公开 GitHub 仓库。搜索引擎爬虫一抓,不到两小时就被自动化工具扫走。这类事故每年在 HackerOne 报告里出现上百起,根源不是技术多难,而是没把 .env 和 config.local.php 加进 .gitignore,也没设 CI 检查敏感词。
风险不在别处,就在你刚改完的 nginx.conf 里,在你没关掉的测试环境 Swagger UI 上,在你随手分享的远程桌面链接中。看见一个新服务上线,先问一句:它暴露了什么?谁有权访问?数据怎么流?比等出事再救火,成本低得多。