证书站小程序猜测接口获取大量敏感信息

视频教程在我主页简介里

目录:

证书站小程序猜测接口获取大量敏感信息

由于漏洞还没有修复,这里直接码死师傅们看个思路就好。 通过icp备案查询找到了此edu证书站的小程序

使用自己手机号登录进入,点击此功能

点击此功能会产生三个数据包

在这个数据包中,此接口应该是用来查询用户信息的接口

如果这个接口能进行越权查看他人信息必然能拿下证书,随即对此接口进行了猜测,尝试page、info、list无果

当准备跑路时看了一下,history记录,在点击此功能时产生的第一个数据包的接口为/xxx/abc/getALLlist,字面意思这个接口是获取所有的信息,于是将getALLlist接口拼接到获取用户信息的接口

成功返回4800人三要素信息,最终也是中危拿下此站点证书。

视频教程在我主页简介里

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关
相关推荐
tangweiguo0305198710 分钟前
Android应用完全重启指南:从任务重置到进程重生
android
元闰子15 分钟前
怎么用CXL加速数据库?· SIGMOD'25
数据库·后端·面试
时序数据说18 分钟前
时序数据库IoTDB的核心优势
大数据·数据库·物联网·开源·时序数据库·iotdb
2501_9160074718 分钟前
uni-app iOS 文件调试常见问题与解决方案:结合 itools、克魔、iMazing 的实战经验
android·ios·小程序·https·uni-app·iphone·webview
TDengine (老段)18 分钟前
中国时序数据库行业市场概览、投资热点及发展趋势预测报告
数据库·物联网·时序数据库·iot·tdengine
切糕师学AI25 分钟前
持续集成和持续交付 (CI/CD) 工具——Jenkins
运维·ci/cd·jenkins
weixin_lynhgworld27 分钟前
短剧小程序系统开发:构建影视生态新格局
小程序·短剧
ZYMFZ38 分钟前
Linux系统shell脚本(四)
linux·运维·服务器
ljt272496066142 分钟前
Compose笔记(四十九)--SwipeToDismiss
android·笔记·android jetpack
fatiaozhang952742 分钟前
山西移动九联UNT413HS-海思MV320-2+8G-原机全量备份包
android·电脑·电视盒子·刷机固件·机顶盒刷机