证书站小程序猜测接口获取大量敏感信息

视频教程在我主页简介里

目录:

证书站小程序猜测接口获取大量敏感信息

由于漏洞还没有修复,这里直接码死师傅们看个思路就好。 通过icp备案查询找到了此edu证书站的小程序

使用自己手机号登录进入,点击此功能

点击此功能会产生三个数据包

在这个数据包中,此接口应该是用来查询用户信息的接口

如果这个接口能进行越权查看他人信息必然能拿下证书,随即对此接口进行了猜测,尝试page、info、list无果

当准备跑路时看了一下,history记录,在点击此功能时产生的第一个数据包的接口为/xxx/abc/getALLlist,字面意思这个接口是获取所有的信息,于是将getALLlist接口拼接到获取用户信息的接口

成功返回4800人三要素信息,最终也是中危拿下此站点证书。

视频教程在我主页简介里

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关
相关推荐
漫谈网络1 分钟前
基于 Netmiko 的网络设备自动化操作
运维·自动化·netdevops·netmiko
Pasregret1 分钟前
缓存与数据库一致性深度解析与解决方案
数据库·缓存·wpf
skywalk81635 分钟前
Graph Database Self-Managed Neo4j 知识图谱存储实践2:通过官方新手例子入门(未完成)
数据库·知识图谱·neo4j
上趣工作室7 分钟前
微信小程序开发1------微信小程序中的消息提示框总结
微信小程序·小程序
Lucky GGBond7 分钟前
MySQL 报错解析:SQLSyntaxErrorException caused by extra comma before FROM
数据库·mysql
꧁坚持很酷꧂28 分钟前
Linux Ubuntu18.04下安装Qt Craeator 5.12.9(图文详解)
linux·运维·qt
居然是阿宋32 分钟前
Kotlin高阶函数 vs Lambda表达式:关键区别与协作关系
android·开发语言·kotlin
Claudio36 分钟前
【MySQL】联合索引和覆盖索引(索引失效的误区讲解+案例分析)
数据库
獨枭38 分钟前
SQL Server 2019 安装与配置详细教程
sql·sqlserver
凉、介1 小时前
PCI 总线学习笔记(五)
android·linux·笔记·学习·pcie·pci