漏洞利用
輸入用戶名,界面將彈出手機號,看似手機號被隱藏了,但是通過抓取http包,發現后臺其實回傳了手機號,由此可知,改手機號只在前端做了隱藏處理,
而且該介面沒有做任何校驗,可以任意呼叫,于是開啟了BurpSuit的爆破征程,
通過該介面可以爆出大量已注冊的手機號,導致手機號資訊泄露,
漏洞修復
后端不要回傳手機號,應同前端一樣,隱藏中間四位,
想學習更多網路安全的知識,可以關注公眾號“SCLM安全團隊”,
lynnlovemin
CSDN認證博客專家
網路安全
Web滲透
CSDN認證博客專家
網路安全
Web滲透
李熠,中國石油規劃總院高級開發工程師,對Java編碼規范和編碼技巧有著獨特的見解,熱衷微服務架構,曾作為中小型企業CTO,帶領過超過30人的技術團隊,現專注于網路安全尤其是web滲透方向的研究,長期活躍于各大SRC平臺,為其提供漏洞報告,著有《Spring Cloud實戰演練》一書
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/194968.html
標籤:其他
上一篇:【考研政治】毛中特(思維導圖)