记录一次真实信息泄露
获取prod-web-auth-api/gateway/commonPostLogin 接口
类似于获取信息的登录接口
遍历username字段,可以获取到对应身份证号的人姓名、手机号和小程序鉴权值
获取到小程序session,可以任意越权其他功能
用其他数据包证明session可利用
遍历username字段,根据id字段可以证明数据量200万+,可以获取上两百万+公民个人信息,并且所有使用Authorization字段鉴权的功能都可以越权增删改查信息。
该环境已修复 仅供学习交流思路
关于作者
评论38次
username置空是不是可以返回全部用户信息
啊?没看到学xi的点
就是发了一个 流程 hhh
比较常规的思路,一般用springboot开发的xi统很常见
感觉水了一篇文章
遍历一下username参数,感觉能得出不少数据呀,有点xing
小程序的安全性越来越受到重视了。
啊?没看到学xi的点
username是突破点,这漏洞有点简单
我感觉楼主不如弄个流程图说明下,你这样整几个图还打码看着挺费劲的,重要的是,哎,你说你脱了多少条数据来着😄
这种username要么跑字典(zhangsan lisi),要么是根据xi统规律(归属地 递增等),要么尝试置空或通配符(*)返回全部
好久没遇到这种,小程序直接抓包吗
所有人密码都是一样的吗
username置空是不是可以返回全部用户信息
hhh好想法,怕响应太大撑不住
这是app还是微信小程序了
这么大的量的信息泄露么,那这个小程序用户量挺大啊,还是后端连接着别的平台啊
登录口信息查询的地方不做鉴权,也是够了,把开发拿出去鸡毙。
我想问的是,像这种案例,平台能给多少
遇到过类似的,就是在登陆口会发一个查询用户存不存在的请求包,存在就返回所有数据,最离谱的是备注里写的还是密码
请问下像这种通过burp遍历的数据怎么批量导出来了
信息泄露无处不在,都是透明人儿😩😩
这种泄露 多的很,尤其是医院
拍脑袋临时弄的网格化的web或者小程序,未授权接口+居民信息(不止三要素,直接到门牌号)。后期也没人维护。