本文由字节脉搏实验室(夜行字节)成员提供
分享一个捡到的信息泄露漏洞…都是基本操作…大佬请轻喷
…
漏洞已修复…
背景应该是一个网上售卖课程的页面
打算测试有没有修改金额的逻辑漏洞的…随便点开了一个..跳出…
随便输入了名字…
出现了自动关联… 感觉这里有问题… 抓个包先…
发现测试的中文字符被url编码了,不管,康康它的返回包是什么…
出现了…表面脱敏…
它的数据格式长这样:
{"data":[{"title":"xxx(0000000****0000000)","enterpriseName":"某某某某火锅城","nsrsbh":"0000000****0000000"},
得到税号!.. 但是貌似税号可以网上查得到.. 没什么危害…
仔细再看看…其中好像混入了人名?
然后把人名跟着的号码查一下…
18位,明文,身份证号 (我也不知道为神马查询企业名的接口可以查用户的姓名..不管了..中奖了..)
漏洞的发现挺简单的… 一般可以从这种自动往后端校验输入值的功能..为了功能的查询速度,一般不会做太多复杂的检验机制… 可以从这种自动往后端查询的包入手试试注入啊…什么什么的…
额外分享两个别的…
关于这种敏感信息的有个大佬写的burp插件…
https://www.freebuf.com/column/198792.html
需要配置Python环境
然后这是github上关于burp一些实用非官方插件地址…
https://github.com/Mr-xn/BurpSuite-collections
最后,谢谢各位,祝各位表哥天天高危 !
扫一扫关注我们(千份奖品活动临近,还不赶紧关注)
实验室加入申请,商业合作,进讨论群联系小Tone
