展开

关键词

Vine用户隐私信息泄露漏洞

大家好,今天我要和大家分享的是,Twitter旗下免费移动应用Vine的用户隐私泄露漏洞一例,该漏洞由孟加拉国安全研究员 Prial Islam 发现,漏洞原因在于不安全的直接对象引用(IDOR),攻击者可利用该漏洞获取任何 Vine的IP地址、手机号码和注册邮箱等个人敏感信息。 ,也就是说,只要把User-ID值变为其它用户对应的User-ID,那么,我就可以获得任何Vine用户的所有个人注册信息了,震惊了我! /vine.co/api/users/profiles/中替换掉部份,访问链接,在响应内容中你就会得到目标用户的所有个人注册信息,Response的响应内容如下: {“code”: “”, “data ,Vine用户的个人隐私和信息安全面临威胁。

26930

百万用户个人信息泄露漏洞

今天分享的信息泄露漏洞涉及两家大公司的网站,出于隐私保密原因就不具体标明公司名称,漏洞导致将近百万用户的个人医疗数据PII和公司合作方信息存在泄露风险。两个漏洞最终获得了共$3,250美金的奖励。 ,我惊讶地发现,除了这些图片文件之外,其中还存储了一些敏感的个人数据信息,如: 语音聊天内容、音频通话内容、短信内容和其它用户隐私文件。 要命的是,这些敏感文件中的存储内容几乎都是病人与医生之间的谈话信息。 以下是其一张包含个人信息的图例: ? 我及时上报给目标公司后,他们在一小时之内及时进行了修复,并奖励了我$2500+$500的奖励。 二、可登录访问的管理员账户导致商业合作伙伴公司详细信息泄露 这是一家跨国公司网站,其中存在一个存储型XSS,由此我获得了网站的管理员账户token并深入测试获得了公司合作伙伴企业的详细信息

37030
  • 广告
    关闭

    一大波轻量级工具升级重磅来袭

    代码传递思想,技术创造回响!Techo Day热忱欢迎每一位开发者的参与!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    手机重力感应可泄露用户身份信息

    研究人员发现,智能手机和平板电脑里的加速计只要有一丝不同之处就可以创造出独一无二的重力感应“指纹”,这种指纹可以当成是一个用户的身份,在这个身份上可以绑定用户的浏览记录等隐私信息,如果被广告商获取这种数据 与此同时,许多应用程序的运营都靠广告,要精准地投放广告就必须追踪用户的行为和他们的爱好。 伊利诺伊大学副教授RomitRoy Choudhury说,即便用户不允许应用程序来查看用户的数据或地理位置,用户摆弄手机的动作依旧会在不经过用户允许的情况下出卖用户的身份,可以被广告商追踪到。 实际上,以前就已经有研究指出,可以利用加速计的数据来推测用户点击屏幕时的密码。 在移动领域,并没有规定或者行规要求应用程序在调用重力感应时需要征得用户的同意。 与之不同的是,当应用程序想要使用地理位置信息的时候,必须要经过用户的同意方可使用,而加速计信息则不需要征得用户同意。

    52470

    信息泄露

    信息泄露 敏感信息泄露 信息泄露会暴露服务器的敏感信息,使攻击者能够通过泄露信息进行对网站的进一步入侵 软件敏感信息 操作系统版本 可以通过NAMP等扫描得知 中间件的类型以及版本 phpinfo()信息泄露: http://[ip]/test.php 和 http://[ip]/phpinfo.php 测试页面泄露在外网: test.cgi phpinfo.php http://[ip]/cgi 以及其它的常见的编辑备份后缀 版本管理工具文件信息泄露 http://[ip]/.git/config http://[ip]/CVS/Entriesp ://[ip]/admin_login.php 泄露邮箱、号码等 生成爆破字典 错误页面暴露信息 mysql错误、php错误、暴露CMS版本类型等 探针文件 robots.txt phpMyAdmin 源码备份文件 其它~~~~ 网络信息泄露 DNS域传送漏洞 运维监控系统弱口令、网络拓扑泄露等 敏感信息搜集工具 github.com/ring04h/weakfilescan

    30320

    快递官网漏洞泄露1400万用户信息

    继酒店业、电商网站等因网站漏洞个人信息泄露后,快递企业网站再曝漏洞。昨日,有消息称,多家快递网站因存在漏洞遭黑客入侵,有1400万条个人信息在 网络上被层层转卖。 在业内看来,我国个人信息买卖已形成一个完整的利益链条,同时快递等行业部分企业也存在信息安全监管缺失。 消息称,今年3月起有快递企业发现大量该公司快递单信息在网上被叫卖。 警方共从犯罪嫌疑人电脑中查获了1400万条个人信息。 近年来,个人信息安全事件频发,酒店业、电商网站相继爆发大规模个人信息泄露事件。 不良商家通常通过买来的快递单信息为淘宝店“刷单”或推送垃圾短信等,甚至进行诈骗等违法活动。 对于频频曝出的“泄露”事件,相关部门也在加强管控。 根据今年初国家邮政局最新颁布的《寄递服务用户个人信息安全管理规定》规定,邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施保障消费者个人信息安全。

    612100

    Cloudflare泄露用户信息长达数月:系“编程错误”导致

    近日,Google安全人员在研究中发现:某些情况下,Cloudflare的系统可能会将服务器内存中的数据(包括cookie,API密钥和用户密码等)泄露到网页中——这可谓是数据泄漏的大事。 这就意味着:当用户访问由Cloudflare提供支持的网站时,可能随机获取到他人网络会话(session)中的敏感信息——好比你在一家餐厅里刚刚就座,服务员不仅给你递上了菜单,还赠送了其他某个倒霉客人的钱包 在一开始,Ormandy怀疑是Cloudflare一款叫做ScrapeShield的应用程序(该程序本是设计用来防御爬虫大量复制网站信息)引发了数据泄露(阅读原文查看Ormandy发布的公告),并在推特上表示他发现了来自各大交友网站的私密信息 某些情况下,p可能会大于pe,从而避开长度检查,造成缓冲区数据溢出,最终引起了上文所述的信息泄露。 通常此类泄露信息会隐藏在网页源码中,并不引人注意。

    32160

    ctfhub-信息泄露-Git泄露

    这就引起了git泄露漏洞。

    1.1K20

    信息泄露总结

    在渗透测试过程中,由于网站配置不当,或者代码逻辑错误,往往会泄露一些敏感信息,本文对此做一个总结,欢迎各位补充。 0x05 war文件信息泄露 war文件信息泄露是指部署在war文件由于配置不当,导致其整个报文件以及其他重要的配置文件信息泄露,例如可以直接浏览目录,获取其下面的配置文件:WEB-INF/jdbc.properties 形成XSS的场景:与上面场景不同的地方有两个: 1、如果开发者自己处理了异常信息但还是向用户抛出(在实际开发中这情况还不少,还做个用户体验页面,让用户把这些异常信息反馈给管理员(当然,开发者本意是好的! 2、带有用户输入而又未做XSS防御处理的数据(攻击者的恶意代码)。 图片.png 图片.png 当然,如果最后默认是交给容器处理输出,是不会有这问题,如图: 图片.png 0x10 源代码泄露 1. DS_Store 文件泄露在发布代码时未删除文件夹中隐藏的.DS_store,被发现后,获取了敏感的文件名等信息

    2.3K00

    用户信息泄露事件频现,数据安全建设该如何升级?

    而就在此前不久,Facebook以及职场社交软件LinkedIn先后发生数据泄露事件,一共涉及10亿多用户信息。 这也为国内数据安全敲响了警钟。 虽然是2019年泄露的数据,但是用户个人信息一般不会轻易改变,因此绝大部分被泄露的数据仍然具有一定价值。 在Facebook 5亿数据泄露事件发生后,又有5亿领英用户数据被曝出在暗网出售,出售者还用200万用户记录作为证明。泄露的领英用户信息包括全名、邮件地址、手机号码、工作地址等。 据了解,只需支付价值2美元的论坛积分就可以查看泄露的数据样本,此外,黑客可能会以4位数字的比特币拍卖更大的5亿领英用户数据库。 用户信息泄露事件频发,让不少用户开始担忧数据安全。 资料显示,从2011年至2019年,已有11.27亿用户隐私信息泄露,2020年全球数据泄露的平均经济损失为1145万美元,由此可见,国内外数据安全的形势不容乐观。

    8630

    1.7亿条用户信息疑似泄露,学习通怎么说?

    目前该公众号已经将该文章删除,并称,关于某星学习通数据库疑发生信息泄露相关信息由我司相关安全研究员首发披露,介于事件正在调查过程中,为避免引发舆论过度关注,文章在昨天下午已删除,相关部门已介入调查。 但如果真的信息泄露,除了这种骚扰或者诈骗以外,要知道,我们大多数人使用的密码就那几个,而不法分子已经掌握了用户的个人信息以及学习通密码,这意味着,其他平台的账号密码也相当于被泄露了。 一般是指黑客通过收集互联网已泄露用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登陆的用户。 但是软件随时泄露个人信息的风险实在是让人担忧,用户本人也只能被迫承担一系列后果。 而且现在多数软件都是超范围去收集用户的个人信息,它们为你提供服务的时候,根本用不上这些权限。 学习通1.7亿条学生信息泄漏的真假目前不得而知,但个人隐私频繁泄露的背后,是一条分工明确的黑产链条。在这个闭环里,用户隐私数据被视为“商品”明码标价。

    1710

    常见的信息泄露

    常见的泄露 vim泄露 edit泄露 .git泄露 svn泄露 hg泄露 网站备份文件泄露 vim泄露 有用过Linux的同志们都知道,vim是一款强大的文本编辑器 vim xxx# 编辑一个文件 设想一下 如果管理员没有删去这个备份文件,那么这个备份文件可能就会被下载下来利用 下载之后,可以通过vim -r打开这个备份文件 注意:备份文件是 .源文件名.swp 比如http://127.0.0.1/index.php存在vim泄露 ,在php后加一个.swp,也就是http://127.0.0.1/.index.php.swp,下载完后用vim -r 文件名打开即可 gedit泄露 同样的,使用gedit编辑器保存后,会在文件夹下自动生成一个备份文件 t=1&r=68487 CTFHUB的历年真题中的常见的搜集:https://www.ctfhub.com/#/challenge BUUCTF的N1BOOK中的常见的信息搜集:https://buuoj.cn

    13000

    大量 Mega 帐户的登录信息泄露并暴露了用户文件

    据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。 被泄露信息以文本文件形式提供,据了解这份文本文件包含超过 15,500 条用户名、密码和文件名的数据,这意味着这些帐号都曾出现异常登录的情况,并且帐号中的文件名也被爬取了。 这份文本文件最早由 Digita Security 公司的首席研究官和联合创始人 Patrick Wardle 于6月份在恶意软件分析网站 VirusTotal 上发现,而这份文件是在几个月前由一名据称在越南的用户上传的 Wardle 提供的数据截图 ZDNet 表示他们已验证这些帐号,确认这些数据来自 Mega,通过联系多位用户,还确定这些电子邮件、密码和一些文件都是在 Mega 上使用的。 Stephen Hal 表示当时没有任何用户数据遭到破坏。

    46610

    如何给女朋友解释为什么12306会用户信息泄露

    下班后,回到家中,女朋友第一时间过来找我,一定要我给他解释一下12306的数据泄露背后的知识。 ? ? ? ? 很多网站都有注册登录功能,对于用户在注册的时候,填写的用户名和密码,如果不经过任何处理直接保存到数据库中,这种情况下,保存的就是用户的明文密码。 这样直接把用户的明文密码保存下来,对于程序开发来说是很方便的。用户在登录的时候直接到数据库中进行账号密码匹配就可以了。 但是,同时也埋下了很大的隐患,一旦数据库信息泄露,那么黑客就可以拿到所有用户用户名和密码。 ? ? ? ? 举个例子,比如用户的明文密码是helloworld,加密后的密文是xxeerrqq。 对于加了“固定盐”的Hash算法,需要保护“盐”不能泄露,这就会遇到“保护对称密钥”一样的问题,一旦“盐”泄露,根据“盐”重新建立彩虹表可以进行破解。 ? ?

    32310

    干货 | 如果信息泄露不可避免,我们该如何保护用户密码?

    作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄露数据未加密或者加密方式比较弱,导致黑客可以还原出原始的用户密码。 目前已经曝光的信息泄露事件至少上百起,其中包括多家一线互联网公司,泄露总数据超过10亿条。 要完全防止信息泄露是非常困难的事情,除了防止黑客外,还要防止内部人员泄密。 但如果采用合适的算法去加密用户密码,即使信息泄露出去,黑客也无法还原出原始的密码(或者还原的代价非常大)。也就是说我们可以将工作重点从防止泄露转换到防止黑客还原出数据。 不过既然大量的用户信息已经泄露了,密钥很可能也会泄露,当然可以将一般数据和密钥分开存储、分开管理,但要完全保护好密钥也是一件非常复杂的事情,所以这种方式并不是很好的方式。 ? 3. 当然,对于已经泄露的密码,还是需要用户尽快修改密码,不要再使用已泄露的密码。

    44070

    谷歌宣布封停Google+,50万用户信息泄露

    但其成功也越发的依赖于用户数据安全性。 但自2015年起,有一个安全漏洞却使得第三方开发者可以直接访问用户个人资料数据。 当用户授权应用程序访问其公开的个人资料数据时,这个漏洞还能让开发者获取该用户好友的非公开个人资料字段。 目前,Google+的消费者版本使用率和参与度较低:90%的Google+用户活跃时间不到5秒。 问题发现2:用户希望它们对共享的数据进行细粒度控制。 问题发现4:当用户向Android应用程序授予SMS、联系人和电话权限时,他们会考虑到特定的用例。 只有用户选择作为默认应用程序拨打电话或短信的应用才能发出这些请求。 此外,作为Android Contacts权限的一部分,谷歌提供了基本的交互数据 - 例如,消息应用可以向用户显示最近的联系人。

    24140

    Safari信息泄露漏洞分析

    Javascript中的数组和数组对象一直都是编程人员优化的主要目标,一般来说,数组只会包含一些基本类型数据,比如说32位整数或字符等等。因此,每个引擎都会对这...

    29020

    海外版“知乎”Quora 遭黑客入侵,近一亿用户信息泄露

    万豪酒店数据泄露的事情还没平息,又有一位难兄难弟来分散焦点。12月4日早上,国外知名问答社区 Quora 在其博客上发布安全公告称,某个系统遭遇第三方入侵,近一亿用户重要信息可能已经泄露。 ? 这次非法入侵影响约一亿Quora用户,导致以下重要信息可能被泄露: 帐号信息,例如姓名、电子邮件地址、密码、用户授权引入的其他网络数据。 公开内容和活动,例如提问、回答、评论和赞同。 而匿名撰写问题和答案的用户信息由于不被存储,因此并不受影响。 相较于酒店的数据泄露,其实Quora所暴露的这些信息危害性更严重,除了用户的姓名、邮箱、密码等重要信息之外,用户在Quora上的活动,包括提问、回答、点赞等等行为,均可以分析出用户的兴趣、喜好,综合其它甚至还能推测出更多的信息 Quora 此次泄露的数据基本可以针对每位用户有一个相对准确的兴趣画像,黑客稍加利用的话,这些信息可能让更多人落入诈骗陷阱。

    33430

    全球最大同性社交软件Grindr存在漏洞,泄露用户信息及位置

    美国NBC的一份报道称,一款名为Grindr的交友应用程序存在两个安全问题,它可以暴露超过300万用户信息,包括那些选择不共享这些信息的人的位置数据。 一旦用户登录成功后,Faden就可以访问用户档案中没有公开的用户数据,包括未读消息、电子邮件地址、删除的照片以及用户的位置信息。这在同性恋被定为犯罪的地方,利用用户位置数据会将同性恋者处于危险境地。 Grindr软件会公开许多用户的位置信息,但是它允许用户禁用该功能,但是Faden发现,如果用户通过他的第三方网站连接他们的Grindr配置文件,他可以找到那些选择禁用该功能的用户的位置。 ? 但是其中一些信息没有被编码,这意味着通过监控网络流量(如国家政府监控的公共WiFi网络上)就可以识别出任何打开该应用程序的用户位置。 Grindr于3月19日声明表示其会迅速采取行动,以解决这个问题,并提醒用户不要将用户名密码泄露给任何第三方,因为它们未被Grindr授权。

    69320

    泰迪熊智能玩具泄露数百万音频信息用户密码

    最近可联网的泰迪熊玩具就被爆发生严重安全事件,超过200万儿童与父母之间的语音信息泄露,同时暴露的还有超过82万用户的邮箱和密码。 ,最终导致这些音频数据和用户的私人信息成为了入侵者的目标。 被窃账户超过200万 Hunt在Twitter了发布了基本的被窃信息,其中包括玩具录的音、MongoDB泄露的数据、220万账户语音信息、数据库勒索信息等。 ? Spiral Toys的CEO就直接否认了数据泄露的事实:“用户的语音信息被窃取?绝对不可能。” 来查一下账号是否已经泄露,这个网站包括目前所有Spiral Toys泄露用户数据。 ? 如果不幸中招,要先修改账号密码,同时最好断开玩具和互联网的连接。

    53760

    相关产品

    • 安全托管服务

      安全托管服务

      依托云原生优势,腾讯云安全托管服务(MSS)利用自动化编排技术与安全大数据分析能力,结合腾讯云用户最佳安全实践,为用户提供集监控、分析、处置、响应等于一体的高效安全运营托管服务,帮助用户解决云安全运营过程中资源、经验不足等各类问题,保障用户业务安全,实现降本增效。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券