一首五言絕句作為定場(chǎng)詩(shī)集嵌，接下來(lái)開(kāi)始正式的內(nèi)容根欧。

最近怜珍，我在網(wǎng)上進(jìn)行了一些稀奇古怪的操作柔袁，于是乎我莫名其妙的得到了一個(gè)“眾邦銀行”的賬戶(hù)情组。

這個(gè)名字并不是很熟悉袍祖，查了一下底瓣，看起來(lái)還算是有頭有臉的樣子。

武漢眾邦銀行股份有限公司（簡(jiǎn)稱(chēng)武漢眾邦銀行蕉陋，英語(yǔ)：Wuhan Zhongbang Bank Co., Ltd.茁肠，縮寫(xiě)：Z-BANK）是中華人民共和國(guó)境內(nèi)第11家開(kāi)業(yè)的民營(yíng)銀行，也是湖北省首家獲批開(kāi)業(yè)的民營(yíng)銀行缩举。

以上是wiki的信息垦梆。

國(guó)內(nèi)一共十七家民營(yíng)銀行匹颤，這個(gè)眾邦是第十一家，或許應(yīng)該不會(huì)太差吧托猩？

這樣想的我實(shí)在是too young印蓖，too simple，還需要繼續(xù)提高自己的知識(shí)水平京腥。

這家銀行其他方面不敢說(shuō)赦肃，但是信息安全方面，是非常值得質(zhì)疑的公浪。

下面是我的眾邦銀行賬戶(hù)上的一部分流水：

首先他宛，時(shí)間的格式化有問(wèn)題，小時(shí)和分鐘之間有兩個(gè)冒號(hào)因悲，這叫個(gè)啥堕汞？

分鐘的兩位數(shù)中間又有一個(gè)冒號(hào)，這叫個(gè)啥晃琳？

秒鐘干脆就沒(méi)有了讯检，這叫個(gè)啥？

不但沒(méi)有秒鐘卫旱，分鐘的第二位數(shù)后面還有一個(gè)冒號(hào)人灼，這又是個(gè)啥？

這就算了顾翼，時(shí)間的格式化投放，小問(wèn)題，大概還是能看懂的适贸。

關(guān)鍵是這個(gè)頁(yè)面的URL啊灸芳，同志們。

它的URL有啥問(wèn)題呢拜姿？先不著急說(shuō)烙样。我們看兩個(gè)其他的例子先。

京東

查看我在京東的歷史訂單蕊肥，URL是這樣的：https://order.jd.com/center/list.action

域名/center/list.action谒获，這里面不包含任何多余的信息。

如果我把這個(gè)URL發(fā)給別人壁却，別人如果正處于登錄了京東的狀態(tài)的話(huà)批狱，打開(kāi)看到的肯定是人家自己的訂單。

如果沒(méi)有登錄京東展东，就會(huì)看到京東的登錄頁(yè)面赔硫。

沒(méi)有問(wèn)題，這很好盐肃，很合理爪膊。

支付寶

再看看支付寶向胡，查看我在支付寶的流水，URL是這樣的：https://consumeprod.alipay.com/record/standard.htm

域名/record/standard.htm惊完，也很干凈，path里沒(méi)有啥臟東西处硬。

如果我把這個(gè)URL發(fā)給別人小槐，別人如果正處于登錄了支付寶的狀態(tài)的話(huà)，打開(kāi)看到的肯定是人家自己的流水荷辕。

如果沒(méi)有登錄支付寶凿跳，就會(huì)看到支付寶的登錄頁(yè)面。

好了疮方，應(yīng)該不需要更多的例子了控嗜，大的原則就是我的購(gòu)物和流水信息別人不應(yīng)該僅僅通過(guò)一個(gè)URL就能看到。

接下來(lái)骡显，看一看反面典型吧疆栏。沒(méi)錯(cuò)，反面典型就是這個(gè)“中華人民共和國(guó)境內(nèi)第11家開(kāi)業(yè)的民營(yíng)銀行惫谤，也是湖北省首家獲批開(kāi)業(yè)的民營(yíng)銀行”--眾邦銀行壁顶。

https://perbank.z-bank.com/weixinServer/htmlShow/weixinBank/views/transfer/tradeRecord.html?/iwJPm77nZq2HJfE5F1i0O8eJZlV6AJqePqv0T7or1bZwkrWnishU3vmqDhXVKGFRuCcJFfjMxcu9khuk5DU8JtIvYvdELXHJMfGepT4I1UAYMCuutU8mQotdPwHAgq4nhocB1nKeeE4HKhWkNMG3kvv/HqUv0QA5F+oxCtdtYRpM9hwNz4mbAL/7VALq7818qWxJgTpWGt9zmO/G9tFb6rSBiW00BT1aPSPCBsswXk939y2I2qc/8yclDRs41ex=

上面是我在眾邦銀行的流水頁(yè)面的URL。

哇呀溜歪，好花哨啊若专，這么多字符呀，看起來(lái)亂呼呼的蝴猪，想必很安全吧调衰？

并沒(méi)有！

任何一個(gè)人自阱，在任何一臺(tái)設(shè)備上嚎莉，使用任何瀏覽器，訪問(wèn)這個(gè)URL动壤，就可以得到萝喘，你猜是啥？

沒(méi)錯(cuò)琼懊，就是我在眾邦銀行的流水了阁簸。

不信的話(huà)，你訪問(wèn)一下那個(gè)URL哼丈，看到的內(nèi)容和本文上面的截圖里是一樣的启妹。

實(shí)在不是我想要搞一個(gè)大新聞，然后把眾邦銀行批判一番醉旦，而是眾邦銀行犯的這個(gè)錯(cuò)誤太低級(jí)了饶米。

作為國(guó)家批準(zhǔn)欽定的民營(yíng)銀行桨啃，你們?cè)趺茨苓@個(gè)樣子呢？將來(lái)用戶(hù)的信息安全有了偏差的話(huà)檬输，你們是不是要負(fù)責(zé)任的呀照瘾？

你們搞的這個(gè)東西呀，一點(diǎn)都不excited丧慈，簡(jiǎn)直讓我折壽-1s析命。

你們這樣搞啊，行不通的逃默，這絕對(duì)不是墜吼的鹃愤，簡(jiǎn)直不知道低到哪里去了。

希望你們能努力提高自身的知識(shí)水平完域，積累一點(diǎn)人生經(jīng)驗(yàn)软吐。

悄悄地做一點(diǎn)微小的工作，修復(fù)這個(gè)問(wèn)題吟税，之后就可以慢聲大發(fā)財(cái)凹耙。

來(lái)日才好和用戶(hù)們談笑風(fēng)生啊。