共计 383 个字符,预计需要花费 1 分钟才能阅读完成。
先找到了该直播平台的一个登陆后台
找一个主播,打开看看,把她的 url 中的 ID 记住
打开第一个网址,把这个 ID 粘贴到这里,然后点击后面的忘记密码
先泄露主播的用户名
接下来开启抓包,点击发送验证码
在抓包信息中,就直接泄露了该主播的手机号
总结
在写代码的时候,一定要注意不要在 url 里面参杂过多的内容,一切要进行传输的内容一定要进行加密,而且加密方式不能是常见的可破解的加密方式。
这里再提一个比较常见的信息泄露漏洞——js 数据传输问题
只要有 json 数据的传输时,多去更改 id 参数值,去看看有没有什么惊喜,在这里面经常会出现很多莫名其妙的信息,真的是特别莫名其妙的信息。在腾讯、百度知道等大型网站中,也经常出现了这个问题,很多受保护的信息也因为 js 传输的问题,被泄露了。
文章首发公众号:无心的梦呓 (wuxinmengyi)
这是一个记录红队学习、信安笔记,个人成长的公众号
扫码关注即可
正文完