记录一次真实信息泄露

获取prod-web-auth-api/gateway/commonPostLogin 接口

类似于获取信息的登录接口


遍历username字段，可以获取到对应身份证号的人姓名、手机号和小程序鉴权值

获取到小程序session，可以任意越权其他功能

用其他数据包证明session可利用

遍历username字段，根据id字段可以证明数据量200万+，可以获取上两百万+公民个人信息，并且所有使用Authorization字段鉴权的功能都可以越权增删改查信息。

该环境已修复 仅供学习交流思路