扫码领资料
获网安教程
本文由掌控安全学院 - momo7967 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
某985学生就业信息网接口泄露敏感信息泄露
漏洞发现
看见这种硬核985网站只能burp翻接口
img
点击到搜索岗位的页面com_id这个参数好像是代表每一个发布职位的人(接下来有用)
img
一共有5w条
img
点进发现页面只有投递邮箱,没有其他发布职位人的信息。
img
再翻阅burp包,id实际上就是com_id
img
在这个请求包中可以看见发布职位人的电话!这个是在页面上面没有的
img
另外一个数据包则更全、发布人姓名、电话、邮箱。
img
img
成功拿下5w条敏感信息、只需要替换com_id则可以查询
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+靶场账号哦
分享后扫码加我!
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力
