证书站小程序猜测接口获取大量敏感信息

视频教程在我主页简介里

目录:

证书站小程序猜测接口获取大量敏感信息

由于漏洞还没有修复,这里直接码死师傅们看个思路就好。 通过icp备案查询找到了此edu证书站的小程序

使用自己手机号登录进入,点击此功能

点击此功能会产生三个数据包

在这个数据包中,此接口应该是用来查询用户信息的接口

如果这个接口能进行越权查看他人信息必然能拿下证书,随即对此接口进行了猜测,尝试page、info、list无果

当准备跑路时看了一下,history记录,在点击此功能时产生的第一个数据包的接口为/xxx/abc/getALLlist,字面意思这个接口是获取所有的信息,于是将getALLlist接口拼接到获取用户信息的接口

成功返回4800人三要素信息,最终也是中危拿下此站点证书。

视频教程在我主页简介里

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关
相关推荐
niuniu_6664 分钟前
简单的自动化场景(以 Chrome 浏览器 为例)
运维·chrome·python·selenium·测试工具·自动化·安全性测试
【云轩】18 分钟前
《混沌钟的RISC-V指令集重构》
网络·安全
大胡子的机器人28 分钟前
安卓中app_process运行报错Aborted,怎么查看具体的报错日志
android
goto_w35 分钟前
uniapp上使用webview与浏览器交互,支持三端(android、iOS、harmonyos next)
android·vue.js·ios·uni-app·harmonyos
EasyGBS36 分钟前
视频设备轨迹回放平台EasyCVR打造视频智能融合新平台,驱动智慧机场迈向数字新时代
网络·人工智能·安全·音视频
嘴对嘴编程1 小时前
oracle数据泵操作
数据库·oracle
EasyGBS1 小时前
视频设备轨迹回放平台EasyCVR综合智能化,搭建运动场体育赛事直播方案
网络·安全·音视频
暮雨哀尘1 小时前
微信小程序开发:开发实践
开发语言·算法·微信小程序·小程序·notepad++·性能·技术选型
这儿有一堆花1 小时前
Kali Linux 2025.1a:主题焕新与树莓派支持的深度解析
linux·运维·服务器
wanhengidc2 小时前
算力服务器和普通服务器之间的不同之处
运维·服务器