记录一次真实信息泄露

2025-03-20 17:15:33 31 fingershuaib 1560

获取prod-web-auth-api/gateway/commonPostLogin 接口

类似于获取信息的登录接口

遍历username字段，可以获取到对应身份证号的人姓名、手机号和小程序鉴权值

获取到小程序session，可以任意越权其他功能

用其他数据包证明session可利用

遍历username字段，根据id字段可以证明数据量200万+，可以获取上两百万+公民个人信息，并且所有使用Authorization字段鉴权的功能都可以越权增删改查信息。

该环境已修复仅供学习交流思路

类别渗透测试

fingershuaib2篇文章20篇回复

要评论？请先登录或注册

11楼

ElmWhite
7 天前 10:23

算是数据泄露了，这量也不是很少

回复|@ta|踩(0)|顶(0)
10楼

tianqing
7 天前 10:13

我看很多xi统的URL地址带有 "gateway"这个目录，这是什么框架吗？还是说是开发人员都这么写

回复|@ta|踩(0)|顶(0)
9楼

起名好烦啊
7 天前 10:11

眼熟，感觉哪里用过呢

回复|@ta|踩(0)|顶(0)
8楼

piazini
7 天前 10:02

漏洞无处不在

回复|@ta|踩(0)|顶(0)
7楼

AlyssaVV
7 天前 09:17

於噵7788：
现在重要数据是多少条个人信息来着？
回复|@ta
1

10W吧这个已经能算是数据泄露事故了

回复|@ta|踩(0)|顶(0)
6楼

MH521
7 天前 09:14

username置空是不是可以返回全部用户信息

回复|@ta|踩(0)|顶(0)
5楼

ZeChengYu
7 天前 09:06

Txswcl：
username是有规律的吗
回复|@ta
1

username好像是id号啊

回复|@ta|踩(0)|顶(0)
4楼

fingershuaib
7 天前 08:35

Aspire：
你的username字段是用的自己的库吗？还是一下子返回了多少个username参数值？
回复|@ta
1

根据xi统的归属地自行查找嗷

回复|@ta|踩(0)|顶(0)
3楼

Txswcl
7 天前 08:17

username是有规律的吗

回复|@ta|踩(0)|顶(0)
2楼

Aspire
2025-3-20 22:03

你的username字段是用的自己的库吗？还是一下子返回了多少个username参数值？

回复|@ta|踩(0)|顶(0)
1楼

於噵7788
2025-3-20 21:59

现在重要数据是多少条个人信息来着？

回复|@ta|踩(0)|顶(0)