学习
实践
活动
专区
工具
TVP
写文章

Vine用户隐私信息泄露漏洞

大家好,今天我要和大家分享的是,Twitter旗下免费移动应用Vine的用户隐私泄露漏洞一例,该漏洞由孟加拉国安全研究员 Prial Islam 发现,漏洞原因在于不安全的直接对象引用(IDOR),攻击者可利用该漏洞获取任何 Vine的IP地址、手机号码和注册邮箱等个人敏感信息。 ”: 0, “userId”: █████████, “private”: 0, “likeCount”: null, “commentCount”: null, “platforms”: [“android ,你会发现,其中包含了大量个人注册信息(都已作了隐藏),如下: “platforms”: [“android”, “ios”] “flaggedCount”: 7579 “twitterId”: “ 40.000000” “ipAddress”: “█████” 漏洞影响 攻击者只需利用IP地址、邮箱地址和手机号码就能大作文章,当然了,也能发起对Vine用户的大肆个人收集活动,Vine用户的个人隐私信息安全面临威胁

32430

信息泄露

信息泄露 敏感信息泄露 信息泄露会暴露服务器的敏感信息,使攻击者能够通过泄露信息进行对网站的进一步入侵 软件敏感信息 操作系统版本 可以通过NAMP等扫描得知 中间件的类型以及版本 phpinfo()信息泄露: http://[ip]/test.php 和 http://[ip]/phpinfo.php 测试页面泄露在外网: test.cgi phpinfo.php http://[ip]/cgi 以及其它的常见的编辑备份后缀 版本管理工具文件信息泄露 http://[ip]/.git/config http://[ip]/CVS/Entriesp ://[ip]/admin_login.php 泄露邮箱、号码等 生成爆破字典 错误页面暴露信息 mysql错误、php错误、暴露CMS版本类型等 探针文件 robots.txt phpMyAdmin 源码备份文件 其它~~~~ 网络信息泄露 DNS域传送漏洞 运维监控系统弱口令、网络拓扑泄露等 敏感信息搜集工具 github.com/ring04h/weakfilescan

40520
  • 广告
    关闭

    热门业务场景教学

    个人网站、项目部署、开发环境、游戏服务器、图床、渲染训练等免费搭建教程,多款云服务器20元起。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Android 12 新版本泄露隐私安全可媲美 iOS 系统?

    依照惯例,谷歌一般会在 I/O 开发者大会上展示 Android 和其他谷歌服务的新功能,不出意外的话,今年这场大会的主角将是谷歌宣称要让操作系统更直观、性能更好、更安全的 Android 12 系统。 据 XDA-Developeres 介绍,这版 Android 12 是来自一位匿名人士提供的未发布版本,主要在功能升级、用户界面和隐私安全方面进行了优化,其中在隐私安全上还带来了不少与 iOS 系统相类似的体验 媲美 iOS 的隐私安全? 由于谷歌对广告利益不可能放弃,因此只能尽量平衡用户隐私和广告之间的生态环境,所以可想而知 Android 12 的反追踪功能不会非常严格(微信搜索readdot,关注后回复 编程资源,领取各种经典学习资料 剪贴板访问提示 在新版本中,Android 12 要新增一个剪贴板访问提示,可在“设置-隐私”下的一个新的“显示剪贴板访问”中控制权限开关,开启后,每当应用程序访问剪贴板时,都会显示提示消息。

    43130

    你的隐私正在被泄露

    反观国内,某度 CEO 公开发言,国人对隐私问题没那么敏感,在个人隐私方面更加开放,一定程度上是愿意拿隐私来换取方便和效率的。 我他么就笑了,我愿不愿意你心里还没有点 B 数吗? 国内对于用户隐私的问题真的差到极致,前段时间关于中国电信 App 需要获取用户 70 多项权限的新闻想必有所耳闻,APP 弹窗提示:应用程序将访问传输手机号码、IMSI、IMEI、MEID、手机型号等设备信息 ,系统验证通过后提供安全免密登录、读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头、改变 WLAN 状态及录音等权限。 点击同意后,该应用又提出四项用户授权,分别是:存储、电话、通讯录和位置信息。 点击 “禁止” 按钮后,该 APP 弹出对话框显示 “请在应用信息-权限中开启电话权限,以正常使用。” 也就是说,用户一旦拒绝授予该权限,则整个应用都无法使用。

    1K90

    PHPInfo信息泄露

    0x01 漏洞描述 - PHPInfo信息泄露 - PHPInfo()函数信息泄露漏洞常发生在一些默认安装的应用程序,比如phpStudy、XAMPP。 PHPInfo页面包含了大量的关于PHP的当前状态环境信息、PHP的编译选项和扩展、操作系统版本信息、服务器系统变量信息、Web应用物理路径信息等等,利用这些信息配合其他漏洞可能导致网站被渗透或者系统提权等危害 0x02 漏洞等级 威胁级别 高危 中危 低危 0x03 漏洞验证 使用dirsearch等一些目录扫描工具扫描目标网站获取泄露phpinfo()函数相关的文件。 一些PHP探针页面也会泄露PHP参数、数据库支持、组件、服务器运行状况等信息。 0x04 漏洞修复 限制PHPInfo相关文件的访问权限。 删除正式部署环境中的PHPInfo相关文件。

    28330

    信息泄露总结

    在渗透测试过程中,由于网站配置不当,或者代码逻辑错误,往往会泄露一些敏感信息,本文对此做一个总结,欢迎各位补充。 async1 图片.png 0x02 IIS短文件名 工具:https://github.com/lijiejie/IIS_shortname_Scanner 利用: 图片.png 0x03 字段加[] 造成信息泄露 0x05 war文件信息泄露 war文件信息泄露是指部署在war文件由于配置不当,导致其整个报文件以及其他重要的配置文件信息泄露,例如可以直接浏览目录,获取其下面的配置文件:WEB-INF/jdbc.properties DS_Store 文件泄露在发布代码时未删除文件夹中隐藏的.DS_store,被发现后,获取了敏感的文件名等信息。 eg: http://www.example.com/.svn/entries 工具:seay-Svn 5 .cvs文件泄露 http://www.example.com/CSV/Root 返回根信息

    2.7K00

    隐私泄露 | 查开房网站的背后

    0×00前言 随着网络的发展,个人信息泄露情况不断升级,个人信息在“黑市”的贩卖日益猖獗。网络中早已公然兜售酒店开房等信息,而这些信息仅可在少数渠道才可获得,准确度之高令人触目惊心。 通过百度搜索发现,很多网站都在提供查询开房信息和手机定位等隐私查询服务。 经调查发现,从开房记录流出到出售再到推广网站,已经成为一条成熟的产业链,本文为针对查开房网站背后作者的一次追溯。 查询分全国或省市,标价不同,简单的聊了几句,没得到有用的信息,只得到了支付账户。 这些支付宝实名信息是松原市的一家企业,虽然邮箱不同但是认证信息一致,初步判断是同一伙人制作。 ? ? ? ? 数据内容为之前泄露的2000W(1.7G)开房数据,至此我们更加确定这些网站的制作肯定为一伙人所为。 ? ? 0×07写在最后 希望作者能尽快关闭网站,不再继续泄露个人隐私隐私保护问题还是要从根源解决,建议有关部门及时从销售渠道端追查非法交易,遏制“黑产”泛滥。

    5.6K90

    安恒信息提醒:当心泄露你的隐私

    小伙伴们都玩的不亦乐乎,但是安恒信息安全专家们看到的,却是背后一系列的网络安全隐患:这样的小游戏有可能会泄露你的个人信息。 ? ,用户的手机号码、位置信息还能和照片对应起来,形成更加精准的个人信息。 绝大多数新型的网络骗术都与个人信息泄露有关。 明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。如果收集的信息可形成用户数据画像并指向可识别对象,可能构成非法收集信息行为。 在使用类似的需要提供个人信息的程序应用时,应该提高个人信息保护意识,不要只顾好玩而忘了随意提供个人信息的后果,留下人身、财产损失的隐患。

    30450

    常见的信息泄露

    常见的泄露 vim泄露 edit泄露 .git泄露 svn泄露 hg泄露 网站备份文件泄露 vim泄露 有用过Linux的同志们都知道,vim是一款强大的文本编辑器 vim xxx# 编辑一个文件 设想一下 如果管理员没有删去这个备份文件,那么这个备份文件可能就会被下载下来利用 下载之后,可以通过vim -r打开这个备份文件 注意:备份文件是 .源文件名.swp 比如http://127.0.0.1/index.php存在vim泄露 ,在php后加一个.swp,也就是http://127.0.0.1/.index.php.swp,下载完后用vim -r 文件名打开即可 gedit泄露 同样的,使用gedit编辑器保存后,会在文件夹下自动生成一个备份文件 t=1&r=68487 CTFHUB的历年真题中的常见的搜集:https://www.ctfhub.com/#/challenge BUUCTF的N1BOOK中的常见的信息搜集:https://buuoj.cn

    33400

    Fortify Audit Workbench 笔记 Privacy Violation 隐私泄露

    Privacy Violation 隐私泄露 Abstract 对各种机密信息处理不当,如客户密码或社会保障号码,会危及到用户的个人隐私,这是一种非法行为。 虽然许多开发人员认为 file system是存储数据的安全场所,但是不应对其予以绝对的信任,特别是在涉及到隐私问题时。 Recommendation 当安全和隐私的需要发生矛盾时,通常应优先考虑隐私的需要。 为满足这一要求,同时又保证信息安全的需要, 应在退出程序前清除所有私人信息。 为加强隐私信息的管理,应不断改进保护内部隐私的原则,并严格地加以执行。 这一原则应具体说明应用程序应该如何处理各种私人数据。 在贵组织受到联邦或者州法律的制约时,应确保您的隐私保护原则尽量与这些法律法规保持一致。 即使没有针对贵组织的相应法规,您也应当保护好客户的私人信息,以免失去客户的信任。

    73720

    美国大数据公司失误泄露 2TB 隐私信息:涉 2.3 亿人

    据Wired报道,本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。 Exactis采集了大约3.4亿条记录,大小2TB,可能涵盖2.3亿人,几乎是全美的上网人口。 Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击,而是他们自己的服务器没有防火墙加密,直接暴露在公共的数据库查找范围内。 最早发现的安全研究员Vinny Troia称,他想搜索的所有人的资料都可以在泄露数据中找到,《连线》的记者给了10个名字,最后准确返回6个结果。 虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息,但是隐私深度却超乎想象,包括一个人是否吸烟,他们的宗教信仰,他们是否养狗或养猫,以及各种兴趣,如潜水和大码服装,这几乎可以帮助构建一个人的几乎完整 在其官网,Exactis号称服务2.18亿独立用户,总计收集了超过35亿条商业、消费者和数字信息

    41940

    一个关于Facebook用户个人和好友隐私信息泄露的漏洞

    前言 大家好,在我的上一篇文章中,我分享了Chrome浏览器中存在的一个Facebook用户信息泄露漏洞,此后,在接下来的研究中,我又发现了另外一个关于Facebook的漏洞,利用该漏洞,可允许其它网站提取出 Facebook受害者用户和其好友的个人隐私信息。 通过操纵Facebook的图谱搜索(Facebook’s Graph Search)功能,我们可以构造一些反映Facebook受害者用户的个人隐私信息搜索请求。 对适用场景来说,这种攻击对移动端用户的潜在威胁可能较大,因为移动端的搜索标签可能很容易被用户在后台忽略或丢失,这样就会让攻击者执行多种组合构造搜索,当用户在观看手机视频或阅读文章时,个人隐私信息就被攻击者悄悄窃取 总结 简而言之,该漏洞暴露了Facebook受害者用户及其朋友的兴趣和活动相关信息,即使Facebook受害者用户在其隐私设置中,设置此类信息只有自己或朋友可见,这种攻击仍然有效。

    48940

    联通案例|利用大数据分析,识别电话诈骗个人隐私信息泄露途径

    ,从中发现可疑被呼号码;然后,在中国联通网研院对全国334个城市功能微网格划分的基础上,对有信息泄露嫌疑的手机用户进行常驻地分析等四种情景筛选,发现用户个人隐私泄露的主要途径,并经检验取得较好效果。 近年来相关案件实例表明,个人隐私信息泄露给罪犯行为带来了更大的欺骗性。 为了厘清个人信息保管者责任,强化防护意识,从电信诈骗行为特征出发,中国联通网络技术研究院与中国人民银行征信中心合作,共同研发了“基于大数据分析平台的电话诈骗中手机用户个人隐私信息泄露途径侦查”系统,用于识别电信欺诈中可能被泄漏个人信息的被呼手机号码 ;然后,在中国联通网研院对全国334个城市功能微网格划分的基础上,对有信息泄露嫌疑的手机用户进行常驻地分析等四种情景筛选,发现用户个人隐私泄露的主要途径,并经检验取得较好效果。 本研究的创新点包括: 1、采用滑动窗口法计算被呼手机号码的信息熵,从中发现非连续号码,作为电信欺诈案件中的可能被泄露个人隐私信息的受害人号码; 2、采用中国联通网研院对全国334个城市微网格数据,与受害人常驻地点进行匹配

    2.4K50

    个人征信忙备战,隐私泄露需警惕

    专家提醒,要警惕放开个人征信系统带来的个人隐私泄露风险,“普通的互联网数据具有不可识别性,而征信涉及的数据和普通互联网数据是不同的,可能会侵害到个人隐私。征信机构需要加强风控体系建设。” 这意味着,有了芝麻信用这样的个人信用体系,越来越多的人在和他人社交、交易前通过查看芝麻分来了解对方的基本信息。 ? 事实上,最近几个月,不仅是芝麻信用这一家民间个人征信机构在行动。    “目前个人征信系统处在初级发展阶段,过去以央行为主的银行机构内部的信息,很明显是远远不能满足日常生活所需的,现在,需要倡导由市场主导的个人征信业务的发展。”财经评论员刘艳表示。    获得用户授权后,房东可以在APP上查询用户的信用信息。 中国政法大学副教授朱巍则提醒,要警惕放开个人征信系统带来的个人隐私泄露风险,“普通的互联网数据具有不可识别性,而征信涉及的数据和普通互联网数据是不同的,可能会侵害到个人隐私

    575120

    HTTPS对于用户隐私泄露无能为力

    由斯诺登揭露的某政府的大规模的监听计划依然甚嚣尘上,于是关于互联网用户隐私问题一次又一次被提上台面,然后各种观点纷纷芜繁杂。 而对于用户隐私和网络行为安全被监听这一内幕,一些人认为采用SSL协议的加密通信,这样他们就会是安全的。 当然,在这里我们想说,如果你真的关心自己的隐私,介意其是否泄漏,你可以适当改变自己的上网习惯,而不是相信用HTTPS取代HTTP就会确保你网络行为的安全性。 当然HTTPS可尽管以用来运行一个在线商店或者电子商务网站,但它无法作为所谓的隐私防护“工具”。 美国的研究人员对十个广泛使用HTTPS的网站进行流量分析,发现依然能看到个人资料的泄露,其中涉及个人的医保、财务、法律事务和性取向。 加州大学伯克利分校的研究人员BradMiller, A. D.

    30090

    关注

    腾讯云开发者公众号
    10元无门槛代金券
    洞察腾讯核心技术
    剖析业界实践案例
    腾讯云开发者公众号二维码

    相关产品

    • 隐私计算

      隐私计算

      云安全隐私计算(TCSPC)以联邦学习、MPC(安全多方计算)、TEE(可信执行环境)等隐私数据保护技术为基础的隐私计算平台,TCSPC针对机器学习算法进行订制化的隐私保护改造,保证数据不出本地即可完成联合建模,同时支持安全多方PSI、安全隐私查询统计分析,提供基于硬件的TEE可信计算。通过TCSPC最大化各个合作企业在数据安全的基础上的数据价值,很好地解决了业界数据孤岛的难题。

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券