首页
学习
活动
专区
工具
TVP
发布

Vine用户隐私信息泄露漏洞

大家好,今天我要和大家分享的是,Twitter旗下免费移动应用Vine的用户隐私泄露漏洞一例,该漏洞由孟加拉国安全研究员 Prial Islam 发现,漏洞原因在于不安全的直接对象引用(IDOR),攻击者可利用该漏洞获取任何...Vine的IP地址、手机号码和注册邮箱等个人敏感信息。...”: 0, “userId”: █████████, “private”: 0, “likeCount”: null, “commentCount”: null, “platforms”: [“android...,你会发现,其中包含了大量个人注册信息(都已作了隐藏),如下: “platforms”: [“android”, “ios”] “flaggedCount”: 7579 “twitterId”: “...40.000000” “ipAddress”: “█████” 漏洞影响 攻击者只需利用IP地址、邮箱地址和手机号码就能大作文章,当然了,也能发起对Vine用户的大肆个人收集活动,Vine用户的个人隐私信息安全面临威胁

44630

信息泄露

信息泄露 敏感信息泄露 信息泄露会暴露服务器的敏感信息,使攻击者能够通过泄露信息进行对网站的进一步入侵 软件敏感信息 操作系统版本 可以通过NAMP等扫描得知 中间件的类型以及版本...phpinfo()信息泄露: http://[ip]/test.php 和 http://[ip]/phpinfo.php 测试页面泄露在外网: test.cgi phpinfo.php...http://[ip]/cgi 以及其它的常见的编辑备份后缀 版本管理工具文件信息泄露 http://[ip]/.git/config http://[ip]/CVS/Entriesp...://[ip]/admin_login.php 泄露邮箱、号码等 生成爆破字典 错误页面暴露信息 mysql错误、php错误、暴露CMS版本类型等 探针文件 robots.txt...phpMyAdmin 源码备份文件 其它~~~~ 网络信息泄露 DNS域传送漏洞 运维监控系统弱口令、网络拓扑泄露等 敏感信息搜集工具 github.com/ring04h/weakfilescan

1K20
您找到你想要的搜索结果了吗?
是的
没有找到

Android 12 新版本泄露隐私安全可媲美 iOS 系统?

依照惯例,谷歌一般会在 I/O 开发者大会上展示 Android 和其他谷歌服务的新功能,不出意外的话,今年这场大会的主角将是谷歌宣称要让操作系统更直观、性能更好、更安全的 Android 12 系统。...据 XDA-Developeres 介绍,这版 Android 12 是来自一位匿名人士提供的未发布版本,主要在功能升级、用户界面和隐私安全方面进行了优化,其中在隐私安全上还带来了不少与 iOS 系统相类似的体验...媲美 iOS 的隐私安全?...由于谷歌对广告利益不可能放弃,因此只能尽量平衡用户隐私和广告之间的生态环境,所以可想而知 Android 12 的反追踪功能不会非常严格(微信搜索readdot,关注后回复 编程资源,领取各种经典学习资料...剪贴板访问提示 在新版本中,Android 12 要新增一个剪贴板访问提示,可在“设置-隐私”下的一个新的“显示剪贴板访问”中控制权限开关,开启后,每当应用程序访问剪贴板时,都会显示提示消息。

1.7K30

你的隐私正在被泄露

反观国内,某度 CEO 公开发言,国人对隐私问题没那么敏感,在个人隐私方面更加开放,一定程度上是愿意拿隐私来换取方便和效率的。 我他么就笑了,我愿不愿意你心里还没有点 B 数吗?...国内对于用户隐私的问题真的差到极致,前段时间关于中国电信 App 需要获取用户 70 多项权限的新闻想必有所耳闻,APP 弹窗提示:应用程序将访问传输手机号码、IMSI、IMEI、MEID、手机型号等设备信息...,系统验证通过后提供安全免密登录、读取用户位置信息、读取手机通讯录、获取通话记录、拨打电话、发短信、修改联系人、调用摄像头、改变 WLAN 状态及录音等权限。...点击同意后,该应用又提出四项用户授权,分别是:存储、电话、通讯录和位置信息。...点击 “禁止” 按钮后,该 APP 弹出对话框显示 “请在应用信息-权限中开启电话权限,以正常使用。” 也就是说,用户一旦拒绝授予该权限,则整个应用都无法使用。

1.3K90

PHPInfo信息泄露

0x01 漏洞描述 - PHPInfo信息泄露 - PHPInfo()函数信息泄露漏洞常发生在一些默认安装的应用程序,比如phpStudy、XAMPP。...PHPInfo页面包含了大量的关于PHP的当前状态环境信息、PHP的编译选项和扩展、操作系统版本信息、服务器系统变量信息、Web应用物理路径信息等等,利用这些信息配合其他漏洞可能导致网站被渗透或者系统提权等危害...0x02 漏洞等级 威胁级别 高危 中危 低危 0x03 漏洞验证 使用dirsearch等一些目录扫描工具扫描目标网站获取泄露phpinfo()函数相关的文件。...一些PHP探针页面也会泄露PHP参数、数据库支持、组件、服务器运行状况等信息。 0x04 漏洞修复 限制PHPInfo相关文件的访问权限。 删除正式部署环境中的PHPInfo相关文件。

3K30

隐私保护之隐私信息检索

那么,如何在用户进行信息检索时保护用户的隐私呢?这或许会涉及到一种名为隐私信息检索的技术。 什么是隐私信息检索?...隐私信息检索方案的主要参数是通信复杂度,或者说是 度量用户和服务器之间通信的总比特数的函数。目前最有效的双服务器隐私信息检索协议的通信复杂度为 O (n的1/3次方)。...早期的隐私信息检索 隐私信息检索方案的目标是通过提供一个简单的(d + 1)服务器方案,使用 O (n的1/d次方)通信来访问 n 位数据,这个方案背后的关键思想是有限多项式插值。...现代的隐私信息检索 现代的隐私信息检索方案不再基于多项式,其关键技术要素是一个具有限制交集的大集合族的设计。设 k 是一个小整数,它将 n 位消息编码成码字。...计算型隐私信息检索方案之所以具有吸引力,是因为它们避免了维护数据库的复制副本的需要,并且不会对用户隐私造成损害。 结论 近年来,隐私信息检索已经成长为一个庞大而深入的领域,并与其他领域相连。

16930

信息泄露总结

在渗透测试过程中,由于网站配置不当,或者代码逻辑错误,往往会泄露一些敏感信息,本文对此做一个总结,欢迎各位补充。...async1 图片.png 0x02 IIS短文件名 工具:https://github.com/lijiejie/IIS_shortname_Scanner 利用: 图片.png 0x03 字段加[] 造成信息泄露...0x05 war文件信息泄露 war文件信息泄露是指部署在war文件由于配置不当,导致其整个报文件以及其他重要的配置文件信息泄露,例如可以直接浏览目录,获取其下面的配置文件:WEB-INF/jdbc.properties...DS_Store 文件泄露在发布代码时未删除文件夹中隐藏的.DS_store,被发现后,获取了敏感的文件名等信息。...eg: http://www.example.com/.svn/entries 工具:seay-Svn 5 .cvs文件泄露 http://www.example.com/CSV/Root 返回根信息

3.4K00

隐私泄露 | 查开房网站的背后

0×00前言 随着网络的发展,个人信息泄露情况不断升级,个人信息在“黑市”的贩卖日益猖獗。网络中早已公然兜售酒店开房等信息,而这些信息仅可在少数渠道才可获得,准确度之高令人触目惊心。...通过百度搜索发现,很多网站都在提供查询开房信息和手机定位等隐私查询服务。 经调查发现,从开房记录流出到出售再到推广网站,已经成为一条成熟的产业链,本文为针对查开房网站背后作者的一次追溯。...查询分全国或省市,标价不同,简单的聊了几句,没得到有用的信息,只得到了支付账户。 这些支付宝实名信息是松原市的一家企业,虽然邮箱不同但是认证信息一致,初步判断是同一伙人制作。 ? ? ? ?...数据内容为之前泄露的2000W(1.7G)开房数据,至此我们更加确定这些网站的制作肯定为一伙人所为。 ? ?...0×07写在最后 希望作者能尽快关闭网站,不再继续泄露个人隐私隐私保护问题还是要从根源解决,建议有关部门及时从销售渠道端追查非法交易,遏制“黑产”泛滥。

9K90

WiFi探测正在跟踪、泄露隐私

德国汉堡大学的研究人员进行了一项现场实验,捕获了数十万路人的WiFi连接探测请求,以此探究哪些隐私信息是在用户无法察觉的情况下泄露出去的。...△来自同一设备的三个探针  隐私泄露和跟踪  每台设备的MAC地址是固定且不变的,通过在后台的大数据数据库进行比对,从用户的MAC地址可以顺藤摸瓜显示用户的手机号、最近消费记录、年龄、兴趣爱好、常用app...商家通过用户画像,对不同用户推送不同的广告促销信息,从而达到所谓的精准营销目的。 除此之外,WiFi探测还可以实现持续跟踪。...尽管 Android 和 iOS系统都已经让MAC 地址随机变化,这让隐私泄露和跟踪变的更加困难。虽然不能完全杜绝隐私泄露,但这已经是一个非常明显的进步。...在现场实验时,Android 8 及更早版本大约占 Android 智能手机的四分之一。在 iOS 中,由于 Apple 更严格的软件更新政策和长期支持,使得旧版本的隐私保护程度要好上不少。

31450

安恒信息提醒:当心泄露你的隐私

小伙伴们都玩的不亦乐乎,但是安恒信息安全专家们看到的,却是背后一系列的网络安全隐患:这样的小游戏有可能会泄露你的个人信息。 ?...,用户的手机号码、位置信息还能和照片对应起来,形成更加精准的个人信息。...绝大多数新型的网络骗术都与个人信息泄露有关。...明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。如果收集的信息可形成用户数据画像并指向可识别对象,可能构成非法收集信息行为。...在使用类似的需要提供个人信息的程序应用时,应该提高个人信息保护意识,不要只顾好玩而忘了随意提供个人信息的后果,留下人身、财产损失的隐患。

38050

常见的信息泄露

常见的泄露 vim泄露 edit泄露 .git泄露 svn泄露 hg泄露 网站备份文件泄露 vim泄露 有用过Linux的同志们都知道,vim是一款强大的文本编辑器 vim xxx# 编辑一个文件 设想一下...如果管理员没有删去这个备份文件,那么这个备份文件可能就会被下载下来利用 下载之后,可以通过vim -r打开这个备份文件 注意:备份文件是 .源文件名.swp 比如http://127.0.0.1/index.php存在vim泄露...,在php后加一个.swp,也就是http://127.0.0.1/.index.php.swp,下载完后用vim -r 文件名打开即可 gedit泄露 同样的,使用gedit编辑器保存后,会在文件夹下自动生成一个备份文件...t=1&r=68487 CTFHUB的历年真题中的常见的搜集:https://www.ctfhub.com/#/challenge BUUCTF的N1BOOK中的常见的信息搜集:https://buuoj.cn

78700

Fortify Audit Workbench 笔记 Privacy Violation 隐私泄露

Privacy Violation 隐私泄露 Abstract 对各种机密信息处理不当,如客户密码或社会保障号码,会危及到用户的个人隐私,这是一种非法行为。...虽然许多开发人员认为 file system是存储数据的安全场所,但是不应对其予以绝对的信任,特别是在涉及到隐私问题时。...Recommendation 当安全和隐私的需要发生矛盾时,通常应优先考虑隐私的需要。 为满足这一要求,同时又保证信息安全的需要, 应在退出程序前清除所有私人信息。...为加强隐私信息的管理,应不断改进保护内部隐私的原则,并严格地加以执行。 这一原则应具体说明应用程序应该如何处理各种私人数据。...在贵组织受到联邦或者州法律的制约时,应确保您的隐私保护原则尽量与这些法律法规保持一致。 即使没有针对贵组织的相应法规,您也应当保护好客户的私人信息,以免失去客户的信任。

1.5K20

美国大数据公司失误泄露 2TB 隐私信息:涉 2.3 亿人

据Wired报道,本月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实。 Exactis采集了大约3.4亿条记录,大小2TB,可能涵盖2.3亿人,几乎是全美的上网人口。...Exactis此次的信息泄露并不是黑客撞库引起或者其它恶意攻击,而是他们自己的服务器没有防火墙加密,直接暴露在公共的数据库查找范围内。...最早发现的安全研究员Vinny Troia称,他想搜索的所有人的资料都可以在泄露数据中找到,《连线》的记者给了10个名字,最后准确返回6个结果。...虽然上述信息中不包含信用卡号、社会保障号码等敏感的金融信息,但是隐私深度却超乎想象,包括一个人是否吸烟,他们的宗教信仰,他们是否养狗或养猫,以及各种兴趣,如潜水和大码服装,这几乎可以帮助构建一个人的几乎完整...在其官网,Exactis号称服务2.18亿独立用户,总计收集了超过35亿条商业、消费者和数字信息

51240

一个关于Facebook用户个人和好友隐私信息泄露的漏洞

前言 大家好,在我的上一篇文章中,我分享了Chrome浏览器中存在的一个Facebook用户信息泄露漏洞,此后,在接下来的研究中,我又发现了另外一个关于Facebook的漏洞,利用该漏洞,可允许其它网站提取出...Facebook受害者用户和其好友的个人隐私信息。...通过操纵Facebook的图谱搜索(Facebook’s Graph Search)功能,我们可以构造一些反映Facebook受害者用户的个人隐私信息搜索请求。...对适用场景来说,这种攻击对移动端用户的潜在威胁可能较大,因为移动端的搜索标签可能很容易被用户在后台忽略或丢失,这样就会让攻击者执行多种组合构造搜索,当用户在观看手机视频或阅读文章时,个人隐私信息就被攻击者悄悄窃取...总结 简而言之,该漏洞暴露了Facebook受害者用户及其朋友的兴趣和活动相关信息,即使Facebook受害者用户在其隐私设置中,设置此类信息只有自己或朋友可见,这种攻击仍然有效。

79240

联通案例|利用大数据分析,识别电话诈骗个人隐私信息泄露途径

,从中发现可疑被呼号码;然后,在中国联通网研院对全国334个城市功能微网格划分的基础上,对有信息泄露嫌疑的手机用户进行常驻地分析等四种情景筛选,发现用户个人隐私泄露的主要途径,并经检验取得较好效果。...近年来相关案件实例表明,个人隐私信息泄露给罪犯行为带来了更大的欺骗性。...为了厘清个人信息保管者责任,强化防护意识,从电信诈骗行为特征出发,中国联通网络技术研究院与中国人民银行征信中心合作,共同研发了“基于大数据分析平台的电话诈骗中手机用户个人隐私信息泄露途径侦查”系统,用于识别电信欺诈中可能被泄漏个人信息的被呼手机号码...,从中发现可疑被呼号码;然后,在中国联通网研院对全国334个城市功能微网格划分的基础上,对有信息泄露嫌疑的手机用户进行常驻地分析等四种情景筛选,发现用户个人隐私泄露的主要途径,并经检验取得较好效果。...本研究的创新点包括: 1、采用滑动窗口法计算被呼手机号码的信息熵,从中发现非连续号码,作为电信欺诈案件中的可能被泄露个人隐私信息的受害人号码; 2、采用中国联通网研院对全国334个城市微网格数据,与受害人常驻地点进行匹配

2.8K50
领券