实战|记一次某企业网站的信息泄露漏洞挖掘

最新推荐文章于 2025-10-10 19:00:18 发布
转载 最新推荐文章于 2025-10-10 19:00:18 发布 · 313 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s/ycpJpdSIfUdcqCU8P8xiyg
文章标签:

#安全

原文地址: 州弟学安全

0x01 前言叙述

在信息收集过程中发现某行业百强企业网站存在了用户个人信息泄露的漏洞,数据量近百万,其数据中包括(姓名,手机号,家庭住址,身份证号,邮箱等信息)

* 本文涉及到相关漏洞已报送厂商并修复,本文仅限技术讨论和研究,严禁用于非法用途,否则产生后果自行承担

0x02 漏洞复现

在常规浏览某些功能点时,发现此网站商家页面会回显商家部分信息,如(发货地,手机号,姓名等)

根据个人经验,开始打点搜集JS文件,API接口等信息,不出意外的找到了一些API接口路径

使用脚本对API接口加部分参数重组进行遍历后,得到页面内显示信息和用户个人私密信息(姓名,手机号,家庭住址,注册时间,身份证号,用户ID等)

根据API接口特征,匹配所谓的ID号,可进行顺序匹配,得到最大值,判断出泄露用户信息近百万用户数据

0x03 修复建议

1. 最小化数据暴露:对于不必要的敏感信息,尽量避免在API中返回。只返回用户需要的最小信息集合,遵循数据隐私原则,例如仅提供用户基本信息而不包含敏感信息。

2. 接口鉴权与权限控制:确保API接口需要进行鉴权,并使用安全的身份验证和授权机制,例如使用API密钥、令牌或OAuth等来验证用户身份,限制对敏感信息的访问权限,防止未经授权的访问。

3. 分离用户ID和敏感信息:将用户ID与敏感信息存储在不同的服务器、数据库中,确保敏感信息存储在安全受控的环境中,设置访问控制和加密保护,限制直接通过用户ID获取敏感信息。

4. 数据脱敏与加密:对于必要存储的敏感信息,采用适当的脱敏和加密技术,确保数据在传输和存储过程中的安全性,例如使用对称加密或哈希算法对敏感信息进行加密,或者使用脱敏技术对数据进行处理,以减少敏感信息的泄露风险。

5. 安全审计与监控:建立日志记录和监控系统,实时跟踪和检测API访问行为,及时发现异常活动和潜在的攻击行为,并及时采取相应的应对措施,以保护用户的敏感信息安全。

 

JS中的漏洞信息
2401_83799022的博客
01-03 490
本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨守法. 此文章不允许未经授权转发至除先知社区以外的其它平台!当我们拿到网站,但是又不知道密码,目录扫描也扫不出有效的信息时,我们可以从前端JS源码入手,找找是否有可以利用的点,或者未授权的接口从而一步一步扩大危害,拿到系统源码或者用户信息等。这个其实危害感觉不大,只泄露了用户名,手机号等一些信息,但是这个网站SRC的,所以还有20元子赏金,hhh。此key有效,hhh。
渗透测试实战 | 某小程序支付漏洞+越权漏洞挖掘
zkaqlaoniao的博客
07-16 296
从0到1安全 | 某小程序支付漏洞+越权漏洞挖掘
习干货|手把手玩转雷池WAF!建议收藏
aizhou1的博客
12-06 3485
本次手把手教你习关于雷池WAF的安装与使用,在安装使用之前教你WAF的运行原理和额外拓展知识(存储原理),各位在工作和网站运营维护时更加得心应手,文末有抽奖各凭手气,祝各位好运
SRC漏洞挖掘信息收集与挖掘技巧
A_991128a的博客
03-09 424
搜索引擎搜索 Google、百度、360、bing、搜狗等主流搜索引擎,通过搜索语法进行搜索。 优点:发现域名时往往会同时发现一些敏感的页面。 缺点:收录有限。
揭秘Python数据脱敏核心技术:如何在3步内实现敏感信息零泄露
最新发布
VarFun的博客
10-10 504
掌握Python数据脱敏处理方案,3步实现敏感信息零泄露。适用于日志、用户数据等场景,采用掩码、哈希与随机化技术,保障隐私安全。高效、易集成,值得收藏。
挖洞技巧:信息泄露之总结
zhangge3663的博客
03-12 1788
信息漏洞的危害涉及到企业和用户,一直以来都是高风险的问题,本文章就两个方向进行讲述挖掘信息泄露的那些思路。 1|0Web方面的信息泄露 1|10x01 用户信息泄露 ①:评论处 一般用户评论处用户的信息都是加密的,比如显示的是用户手机号或邮箱等,就会直接对中间的一段数字进行加密,但是有些可能就没有加密,而是直接显示出来,那么这就造成了用户信息泄露问题。 如果加密...
web打点-信息收集
weixin_53562844的博客
04-12 636
site:xx.com intext:管理|后台|登陆|用户名|密码|系统|账号|admin|login|sys|managetem|password|username。1. allinurl:"hack.html" or "hack.htm" : 搜索所有包含.html或.htm的网页。(2)site:qhjwh.com filetype:doc :搜索指定公司的年货订购会策划方案。批量:python3 oneforall.py --targets ./test.txt run。
SpringBoot + Tika 实现数据泄露防护、检测敏感信息
Java后端技术
02-01 164
往期热门文章:1、震惊!大数组差异比较时,这个方法竟比removeAll快60倍!2、MapStruct 超神进阶用法,让你的代码效率提升十倍!3、面试问我SQL回表?我瞬间蒙了4、SpringBoot控制层中,@Service可以完全替代@Controller吗?5、一键生成Java重复代码,摸鱼新知识!来源:juejin.cn/post/7462172001165295625Tika 主要特...
常见中高危漏洞修复建议(汇总)
weixin_59047731的博客
04-16 5140
【代码】常见中高危漏洞修复建议(汇总)
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露、httpsys漏洞检测以及利用方式,常见中间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供习使用
SRC漏洞挖掘实战经验总结
10-28
漏洞挖掘则是SRC的核心任务之一,通过使用各种方法和技术,寻找并识别代码中的安全缺陷,这些缺陷可能被恶意攻击者利用,导致数据泄露、系统瘫痪等严重后果。 二、渗透测试的重要性 渗透测试是SRC漏洞挖掘的重要...
国内SRC漏洞挖掘经验和技巧分享.pdf
09-10
3. 漏洞挖掘技巧:漏洞挖掘中的个人经验和技巧分享中,漏洞挖掘技巧也是非常重要的,包括使用合法的手段来获取信息,不超过必要的范围,避免造成不必要的损害等方面。 本文档分享了SRC漏洞挖掘的经验和技巧,涵盖了...
一次若依框架和Springboot常见报错的实战漏洞挖掘
记录开发和安全学习过程中的点点滴滴
07-11 2527
又是摸鱼的一天,闲的没事,找个站玩玩,首先开局一个框,漏洞全靠扫,哦不对,全靠找.免责声明博文中涉及的方法可能带有危害性,仅供安全研究与教之用,读者将其方法用作做其他用途,由读者承担全部法律及连带责任,文章作者不负任何责任.本次主要是对渗透测试中的一次实战进行录,当然也是摸摸鱼的成果,主要是对若依常见的一些利用姿势和springboot的利用姿势做个总结
敏感信息泄露
Ethan024的博客
04-18 599
敏感信息泄露 由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。 比如: (1)通过访问URL下的目录,可以直接列出目录下的文件列表; (2)输入错误的URL参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息; (3)前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等 实验平台: 皮卡丘靶场—敏感信息泄露 实验步骤: 源码中存在测试账号: 密码返回到了前端: ...
浅谈Log4j2信息泄露与不出网回显
zhoufy的博客
07-21 1326
Log4j2
JS敏感信息泄露:不容忽视的WEB漏洞
weixin_50464560的博客
08-13 6198
一、前言 一个微小的漏洞,经过攻击者的巧妙而持久的利用,也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。本文将通过一些公开和未公开的漏洞详细阐述此类漏洞 二、漏洞成因 JavaScript作为一种相当简单但功能强大的客户端脚本语言,本质是一种解释型语言。所以,其执行原理是边解释边运行。上述特性就决定了JavaScript与一些服务器脚本语言(如ASP、PHP)以及编译型语言(如C
一次因敏感信息泄露而导致的越权+存储型XSS
2301_80115097的博客
08-22 883
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
移动应用渗透测试:API 接口漏洞的识别与利用技巧
BEST_yundun的博客
08-26 1271
移动应用API渗透测试核心要点:重点关注6类高频漏洞(未授权访问、敏感信息泄露、参数篡改、限流绕过、文件上传风险、Token管理缺陷),通过抓包篡改、批量请求、参数注入等方法检测漏洞实战中可利用越权漏洞窃取数据或控制业务,通过SQL/命令注入获取服务器权限,伪造Token实现持久化访问。防御建议包括严格权限校验、HTTPS加密传输、输入参数过滤、完善限流机制及安全Token管理。该体系覆盖API安全测试全流程,兼顾漏洞识别与修复指导。
edusrc 漏洞挖掘实战
02-01
### edusrc 漏洞挖掘实战教程 #### 确定目标校并获取基本信息 在进行任何安全测试之前,选择一个具体的目标非常重要。通常的做法是从校的官方网站入手,通过访问其主页来确认域名和IP地址。为了简化这一过程,可以借助站长工具这类在线服务快速获得所需信息[^3]。 一旦获得了目标站点的基础数据,下一步就是深入探究该机构所拥有的网络资源范围。这涉及到识别与之关联的所有子域和服务端口等细节内容。对于教育类SRC项目而言,特别需要注意区分哪些资产位于公共互联网上而哪些可能涉及内部网络——后者往往更加敏感且未经授权不得擅自探测。 #### 使用被动方式收集公开可用情报 除了直接针对特定主机执行技术层面的侦察外,还可以采取更为隐蔽的方法来进行前期准备: - **社交媒体监听**:关注官方账号发布的消息,了解近期活动安排和技术架构变动情况; - **文档泄露审查**:查阅由校方发布的技术白皮书、招标文件或其他形式的文字材料中透露出来的潜在风险点; - **历史档案检索**:利用Wayback Machine等工具回溯过往版本页面布局变化趋势,寻找已被废弃但仍存在安全隐患的老系统入口; 这些间接手段有助于构建起全面详尽的情报库,在正式开展渗透测试前提供宝贵线索支持。 #### 手动检测常见Web应用缺陷 当完成了充分的信息整理之后,则可着手于实际的安全评估工作当中去了。鉴于新手阶段容易误操作造成不必要的麻烦,因此建议优先采用人工分析的方式逐步排查各类典型问题所在之处,比如但不限于SQL注入尝试、跨站脚本攻击(XSS)验证等方面的工作[^1]。 ```python import requests def test_xss(url, param_name): payload = "<script>alert('XSS')</script>" params = {param_name: payload} response = requests.get(url, params=params) if payload in response.text: print(f"[+] Potential XSS found at {url} with parameter '{param_name}'") else: print("[!] No XSS detected") test_xss("http://example.com/vulnerable_page", "input_field") # 替换为目标URL及参数名 ``` 上述代码片段展示了如何编写简单的Python脚本来辅助发现可能存在反射型XSS漏洞的位置。当然这只是众多可能性之一而已,随着经验积累还会接触到更多复杂场景下的处理技巧[^2]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值