【SRC实战】前端脱敏信息泄露

挖个洞先

https://mp.weixin.qq.com/s/xnCQQCAneT21vYH8Q3OCpw

" 以下漏洞均为实验靶场,如有雷同,纯属巧合 "

01


漏洞证明

一、前端脱敏,请求包泄露明文

" 前端脱敏处理,请求包是否存在泄露? "

1、获取验证码处,手机号脱敏处理,只有前三位138和后两位02可见

2、burp抓包,点击获取验证码,请求包中参数mobile泄露完整手机号明文,前三位138和后两位02一致

3、全站用户信息页面均存在获取验证码功能,公共页面其他人可访问

二、前端脱敏,返回包泄露明文

" 前端脱敏处理,返回包是否存在泄露? "

1、用户信息处,姓名,手机号脱敏处理,只有姓名后一位斌,手机号前三位138和后两位02可见

2、返回包中参数mobile泄露完整手机号明文,前三位138和后两位02一致

3、请求包中roomId可控,且为纯数字递增加一


02


漏洞危害

1、抓包获取全站用户手机号明文

2、遍历roomId获取全站用户手机号明文

相关推荐
浩浩测试一下2 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Fortinet_CHINA5 小时前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
网安小白的进阶之路7 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全
HumanRisk7 小时前
HumanRisk-自动化安全意识与合规教育平台方案
网络·安全·web安全·网络安全意识教育
安全系统学习14 小时前
【网络安全】Mysql注入中锁机制
安全·web安全·网络安全·渗透测试·xss
缘友一世1 天前
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
安全·web安全
安全系统学习2 天前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
聚铭网络2 天前
案例精选 | 某省级税务局AI大数据日志审计中台应用实践
大数据·人工智能·web安全
GLAB-Mary2 天前
AI会取代网络工程师吗?理解AI在网络安全中的角色
网络·人工智能·web安全
galaxylove2 天前
Gartner发布最新指南:企业要构建防御性强且敏捷的网络安全计划以平衡安全保障与业务运营
网络·安全·web安全