域名注册免费服务网站_免费域名你还敢用吗？

前几天在论坛上看到某免费主机商提供一年的免费托管，就抱着穷游的心态决定去尝试一下。

一进一出：

打开域名：界面不太清晰。

和平常一样，注册会员（用户注册现已关闭），登录，选择免费空间，然后网页就会自动跳转：

这个用户名是随机生成的，每个用户点进去都会生成一个固定的随机用户名，用户无法输入也无法编辑。从程序员的角度来说，这是为了避免域名冲突，估计也是为了防止一个人有多个免费空间。而当我们点进去付费空间的时候就不一样了。

罪名不同，写什么名字都可以。

二月鲜花搜索：

由于之前已经注册过一个免费空间，现在我们来看看如何绕过限制，注册另一个免费空间。

我们先来抓一个数据包，安抚一下心情，可以看到是明文传输的，但是没有任何验证，大家可以随便输入一些试试。

购买成功。

三进三出：

买了，但是只免费一年。

当然，贴心的空间提供商还为我们提供了续租服务。

但每次只能续签一年，然后……

果然，他用的是JS前端验证。然后抓包看看后端有没有二次验证。

然后就是无休止的 POST 更新。

点击续订一年

这时候你还可以看到一个密码修改功能，点击它，nice！

直接转账？而且没有验证码

这就意味着知道域名就可以随意更改用户的账号密码。

百度网站域名

找一个二级域名就行”。

构建 URL

用户名&用户=

哈哈，这一刻我崩溃了

可以直接修改其他人的FTP密码，像这样

使用控制面板已知信息

现在你可以直接杀进去了。

使用FTP连接工具直接进入网站。

获得许可！

总结：

网站采用的是JS前端验证，但是服务器后端没有做二次验证，导致网页发送的信息无条件接受，再加上没有设置基础验证码，可以说漏洞百出，具体情况已经私下反馈给官方了，目前没有再进行非法利用，希望各位开发者以此为戒，避免被炒鱿鱼！