牛奶触肤官方网站安全吗？专家教你避免风险！

昨天刷朋友圈看见有人发了个“牛奶触肤”的促销链接，9.9包邮洗脸仪。我心说这名字听着像三无产品，手比脑子快，点进去就下单了。

快递今天到了，塑料壳子轻飘飘的，拆开一股子化学味儿。我捏着鼻子按说明书扫了包装盒上的二维码，结果蹦出个花花绿绿的官网。当时心里就咯噔一下：这网站做得跟路边打印店小广告似的，安全提示半点没有，登录框直接挂主页中间。连个验证码都不跳，太容易就进去了。

实操测试：五毛钱防火墙

我特意找台没存个人资料的旧手机，下个抓包工具就开始折腾。刚点“注册账号”，随便填个手机号加“123456”这种弱密码，居然秒通过！接着我试了试“忘记密码”，更离谱——输入刚编的手机号，验证码框都没弹出，页面直接跳转到重置密码页，前后不到三秒。

小编温馨提醒：本站只提供游戏介绍，下载游戏推荐89游戏，89游戏提供真人恋爱/绅士游戏/3A单机游戏大全，点我立即前往》》》绅士游戏下载专区

• 密码安全性测试：我换账号输“password”这种烂大街密码照样登录成功
• 个人信息泄露测试：在订单地址栏填了假信息“银河系M78星云”，提交后回头点编辑，页面居然显示其他用户填的“深圳市龙岗区XX小区”，这后台怕不是筛子做的

后背开始冒冷汗了，直接掏专业工具扫网站端口。好家伙，数据库端口3306直接暴露在公网，弱口令试到第三次就捅穿了，里面用户手机号密码全裸奔，连收货地址都是明文存着。用我家十年前的路由器都比这安全。

踩坑后总结的土办法

赶紧把我瞎编的手机号从后台删了（虽然可能早被扒光了），给老婆手机装反诈APP时手都是抖的。结合这回作死经历，给大家几条保命建议：

• 看见这种没听过的牌子先别剁手，去搜索引擎里查品牌名+投诉
• 注册时别用常用密码，更别拿真实地址和姓名填
• 支付绑定微信支付宝就行千万别留银行卡信息
• 收到货把快递单联系方式那栏撕得粉碎才敢扔

今天下午官网突然维护了，八成是后台被人搞了。我这种半桶水都能捅穿，更别说专业黑产了。那9.9的洗脸仪被我拆了，里面就一截五号电池加个振动马达，得，就当买教训了。