记录一次真实信息泄露

2025-03-20 17:15:33 24 fingershuaib 1062

获取prod-web-auth-api/gateway/commonPostLogin 接口

类似于获取信息的登录接口

遍历username字段，可以获取到对应身份证号的人姓名、手机号和小程序鉴权值

获取到小程序session，可以任意越权其他功能

用其他数据包证明session可利用

遍历username字段，根据id字段可以证明数据量200万+，可以获取上两百万+公民个人信息，并且所有使用Authorization字段鉴权的功能都可以越权增删改查信息。

该环境已修复仅供学习交流思路

类别渗透测试

关于作者

fingershuaib2篇文章20篇回复

fingershuaib

评论24次

要评论？请先登录或注册

24楼

axin1st
9 小时前

登录口信息查询的地方不做鉴权，也是够了，把开发拿出去鸡毙。

回复|@ta|踩(0)|顶(0)
23楼

小瑟斯
昨天 16:08

我想问的是，像这种案例，平台能给多少

回复|@ta|踩(0)|顶(0)
22楼

Lufei101
昨天 13:50

遇到过类似的，就是在登陆口会发一个查询用户存不存在的请求包，存在就返回所有数据，最离谱的是备注里写的还是密码

回复|@ta|踩(0)|顶(0)
21楼

hktools
昨天 10:10

请问下像这种通过burp遍历的数据怎么批量导出来了

回复|@ta|踩(0)|顶(0)
20楼

lstib
3 天前 11:57

信息泄露无处不在，都是透明人儿😩😩

回复|@ta|踩(0)|顶(0)
19楼

NS_8899
4 天前 14:57

hilan1：
这种泄露多的很，尤其是医院
回复|@ta
1

拍脑袋临时弄的网格化的web或者小程序，未授权接口+居民信息（不止三要素，直接到门牌号）。后期也没人维护。

回复|@ta|踩(0)|顶(0)
18楼

IceCram
4 天前 11:37

从手法来看不是很难，但是这造成的后果太严重了

回复|@ta|踩(0)|顶(0)
17楼

MrE404bug
4 天前 11:05

6666,这是那个

回复|@ta|踩(0)|顶(0)
16楼

hilan1
4 天前 10:51

这种泄露多的很，尤其是医院

回复|@ta|踩(0)|顶(0)
15楼

六六
4 天前 10:49

看着像是哪个高校、、

回复|@ta|踩(0)|顶(0)
14楼

Anonymous
4 天前 10:33

数据只有手机号啊你这uearname是个id值也没啥鸟用啊哥们普通三要素的也不满足

回复|@ta|踩(0)|顶(0)
13楼

Anonymous
4 天前 10:32

tianqing：
我看很多xi统的URL地址带有 "gateway"这个目录，这是什么框架吗？还是说是开发人员都这么写
回复|@ta
1

springboot框架吧他这个路径有点像在原有基础上修改过的

回复|@ta|踩(0)|顶(0)
12楼

ElmWhite
4 天前 10:23

tianqing：
我看很多xi统的URL地址带有 "gateway"这个目录，这是什么框架吗？还是说是开发人员都这么写
回复|@ta
1

同问，我也看到很多这种gateway写法，有没有大佬提点下，这是开发的xi惯还是说什么小组件/框架？

回复|@ta|踩(0)|顶(0)
11楼

ElmWhite
4 天前 10:23

算是数据泄露了，这量也不是很少

回复|@ta|踩(0)|顶(0)
10楼

tianqing
4 天前 10:13

我看很多xi统的URL地址带有 "gateway"这个目录，这是什么框架吗？还是说是开发人员都这么写

回复|@ta|踩(0)|顶(0)
9楼

起名好烦啊
4 天前 10:11

眼熟，感觉哪里用过呢

回复|@ta|踩(0)|顶(0)
8楼

piazini
4 天前 10:02

漏洞无处不在

回复|@ta|踩(0)|顶(0)
7楼

AlyssaVV
4 天前 09:17

於噵7788：
现在重要数据是多少条个人信息来着？
回复|@ta
1

10W吧这个已经能算是数据泄露事故了

回复|@ta|踩(0)|顶(0)
6楼

MH521
4 天前 09:14

username置空是不是可以返回全部用户信息

回复|@ta|踩(0)|顶(0)
5楼

ZeChengYu
4 天前 09:06

Txswcl：
username是有规律的吗
回复|@ta
1

username好像是id号啊

回复|@ta|踩(0)|顶(0)