证书站小程序猜测接口获取大量敏感信息

视频教程在我主页简介里

目录:

证书站小程序猜测接口获取大量敏感信息

由于漏洞还没有修复,这里直接码死师傅们看个思路就好。 通过icp备案查询找到了此edu证书站的小程序

使用自己手机号登录进入,点击此功能

点击此功能会产生三个数据包

在这个数据包中,此接口应该是用来查询用户信息的接口

如果这个接口能进行越权查看他人信息必然能拿下证书,随即对此接口进行了猜测,尝试page、info、list无果

当准备跑路时看了一下,history记录,在点击此功能时产生的第一个数据包的接口为/xxx/abc/getALLlist,字面意思这个接口是获取所有的信息,于是将getALLlist接口拼接到获取用户信息的接口

成功返回4800人三要素信息,最终也是中危拿下此站点证书。

视频教程在我主页简介里

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关
相关推荐
国产化创客15 分钟前
物联网网关Web服务器--CGI开发实例BMI计算
服务器·前端·物联网·web网关
中东大鹅22 分钟前
MongoDB的索引与聚合
数据库·hadoop·分布式·mongodb
2401_8979078623 分钟前
Android 存储进化:分区存储
android
tuan_zhang1 小时前
第17章 安全培训筑牢梦想根基
人工智能·安全·工业软件·太空探索·战略欺骗·算法攻坚
IpdataCloud1 小时前
如何提升IP地址查询数据服务的安全?
网络·tcp/ip·安全
互联网资讯1 小时前
详解共享WiFi小程序怎么弄!
大数据·运维·网络·人工智能·小程序·生活
yanzhyan2 小时前
【Linux】Linux命令:free
linux·运维·服务器
天天向上杰2 小时前
简识Redis 持久化相关的 “Everysec“ 策略
数据库·redis·缓存
web前端神器2 小时前
服务器机房迁移,centos系统root无法登录,也无法联网等问题
运维·服务器·centos
Leaf吧2 小时前
springboot 配置多数据源以及动态切换数据源
java·数据库·spring boot·后端