证书站小程序猜测接口获取大量敏感信息

视频教程在我主页简介里

目录:

证书站小程序猜测接口获取大量敏感信息

由于漏洞还没有修复,这里直接码死师傅们看个思路就好。 通过icp备案查询找到了此edu证书站的小程序

使用自己手机号登录进入,点击此功能

点击此功能会产生三个数据包

在这个数据包中,此接口应该是用来查询用户信息的接口

如果这个接口能进行越权查看他人信息必然能拿下证书,随即对此接口进行了猜测,尝试page、info、list无果

当准备跑路时看了一下,history记录,在点击此功能时产生的第一个数据包的接口为/xxx/abc/getALLlist,字面意思这个接口是获取所有的信息,于是将getALLlist接口拼接到获取用户信息的接口

成功返回4800人三要素信息,最终也是中危拿下此站点证书。

视频教程在我主页简介里

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关
相关推荐
18538162800余+7 小时前
深入解析:什么是矩阵系统源码搭建定制化开发,支持OEM贴牌
java·服务器·html
诺青2357 小时前
MongoDB副本集
数据库·mongodb
荣光波比7 小时前
ZooKeeper与Kafka分布式协调系统实战指南:从基础原理到集群部署
运维·分布式·zookeeper·kafka·云计算
三坛海会大神5557 小时前
ELK分析系统详解
运维·elk
alexhilton7 小时前
灵活、现代的Android应用架构:完整分步指南
android·kotlin·android jetpack
正在走向自律7 小时前
金仓数据库打通电子证照国产化“最后一公里”——福建某地2TB MongoDB无缝迁移实践
数据库·mongodb·国产数据库·电科金仓
知攻善防实验室7 小时前
Notepad++ 本地提权漏洞|复现|分析
测试工具·安全·网络安全·notepad++
小何好运暴富开心幸福8 小时前
操作系统之初识Linux
linux·运维·服务器·bash
阿波罗尼亚8 小时前
复杂查询:直接查询/子查询/视图/CTE
java·前端·数据库
Go高并发架构_王工8 小时前
MySQL内存优化:缓冲池与查询缓存调优技术详解
数据库·mysql·缓存