先找到了该直播平台的一个登陆后台

file

找一个主播,打开看看,把她的url中的ID记住

file

打开第一个网址,把这个ID粘贴到这里,然后点击后面的忘记密码

先泄露主播的用户名

file

接下来开启抓包,点击发送验证码

file

在抓包信息中,就直接泄露了该主播的手机号

file

总结

在写代码的时候,一定要注意不要在url里面参杂过多的内容,一切要进行传输的内容一定要进行加密,而且加密方式不能是常见的可破解的加密方式。

这里再提一个比较常见的信息泄露漏洞——js数据传输问题

只要有json数据的传输时,多去更改id参数值,去看看有没有什么惊喜,在这里面经常会出现很多莫名其妙的信息,真的是特别莫名其妙的信息。在腾讯、百度知道等大型网站中,也经常出现了这个问题,很多受保护的信息也因为js传输的问题,被泄露了。

文章首发公众号:无心的梦呓(wuxinmengyi)

这是一个记录红队学习、信安笔记,个人成长的公众号

扫码关注即可

file

版权声明:本文为wuxinmengyi原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/wuxinmengyi/p/11601400.html