某直播平台泄露主播手机号

24次阅读

共计 383 个字符,预计需要花费 1 分钟才能阅读完成。

先找到了该直播平台的一个登陆后台

找一个主播,打开看看,把她的 url 中的 ID 记住

打开第一个网址,把这个 ID 粘贴到这里,然后点击后面的忘记密码

先泄露主播的用户名

接下来开启抓包,点击发送验证码

在抓包信息中,就直接泄露了该主播的手机号

总结

在写代码的时候,一定要注意不要在 url 里面参杂过多的内容,一切要进行传输的内容一定要进行加密,而且加密方式不能是常见的可破解的加密方式。

这里再提一个比较常见的信息泄露漏洞——js 数据传输问题

只要有 json 数据的传输时,多去更改 id 参数值,去看看有没有什么惊喜,在这里面经常会出现很多莫名其妙的信息,真的是特别莫名其妙的信息。在腾讯、百度知道等大型网站中,也经常出现了这个问题,很多受保护的信息也因为 js 传输的问题,被泄露了。

文章首发公众号:无心的梦呓 (wuxinmengyi)

这是一个记录红队学习、信安笔记,个人成长的公众号

扫码关注即可

正文完
 0