一个价值1K的信息泄露

本文由字节脉搏实验室（夜行字节）成员提供

分享一个捡到的信息泄露漏洞…都是基本操作…大佬请轻喷

…

漏洞已修复…

背景应该是一个网上售卖课程的页面

打算测试有没有修改金额的逻辑漏洞的…随便点开了一个..跳出…

随便输入了名字…

出现了自动关联… 感觉这里有问题… 抓个包先…

发现测试的中文字符被url编码了,不管,康康它的返回包是什么…

出现了…表面脱敏…

它的数据格式长这样:

{"data":[{"title":"xxx(0000000****0000000)","enterpriseName":"某某某某火锅城","nsrsbh":"0000000****0000000"},

得到税号!.. 但是貌似税号可以网上查得到.. 没什么危害…

仔细再看看…其中好像混入了人名?

然后把人名跟着的号码查一下…

18位,明文,身份证号 (我也不知道为神马查询企业名的接口可以查用户的姓名..不管了..中奖了..)

漏洞的发现挺简单的… 一般可以从这种自动往后端校验输入值的功能..为了功能的查询速度,一般不会做太多复杂的检验机制… 可以从这种自动往后端查询的包入手试试注入啊…什么什么的…

额外分享两个别的…

关于这种敏感信息的有个大佬写的burp插件…

https://www.freebuf.com/column/198792.html

需要配置Python环境

然后这是github上关于burp一些实用非官方插件地址…

https://github.com/Mr-xn/BurpSuite-collections

最后,谢谢各位,祝各位表哥天天高危+!

扫一扫关注我们（千份奖品活动临近，还不赶紧关注）

实验室加入申请，商业合作，进讨论群联系小Tone