记录一次真实信息泄露

2025-03-20 17:15:33 38 fingershuaib 3482

获取prod-web-auth-api/gateway/commonPostLogin 接口

类似于获取信息的登录接口

遍历username字段，可以获取到对应身份证号的人姓名、手机号和小程序鉴权值

获取到小程序session，可以任意越权其他功能

用其他数据包证明session可利用

遍历username字段，根据id字段可以证明数据量200万+，可以获取上两百万+公民个人信息，并且所有使用Authorization字段鉴权的功能都可以越权增删改查信息。

该环境已修复仅供学习交流思路

类别渗透测试

关于作者

fingershuaib2篇文章20篇回复

fingershuaib

评论38次

要评论？请先登录或注册

TOP1

MH521
2025-3-21 09:14

username置空是不是可以返回全部用户信息

回复|@ta|踩(0)|顶(1)
38楼

damov
6 天前 23:05

SeaOf0：
啊？没看到学xi的点
回复|@ta
1

就是发了一个流程 hhh

回复|@ta|踩(0)|顶(0)
37楼

Xiaoyune
2025-5-9 17:21

比较常规的思路，一般用springboot开发的xi统很常见

回复|@ta|踩(0)|顶(0)
36楼

SeaOf0
2025-4-30 10:35

感觉水了一篇文章

回复|@ta|踩(0)|顶(0)
35楼

sha4kOne
2025-4-10 21:37

遍历一下username参数，感觉能得出不少数据呀，有点xing

回复|@ta|踩(0)|顶(0)
34楼

lin
2025-4-10 13:12

小程序的安全性越来越受到重视了。

回复|@ta|踩(0)|顶(0)
33楼

SeaOf0
2025-4-5 11:03

啊？没看到学xi的点

回复|@ta|踩(0)|顶(0)
32楼

0gRrn
2025-3-28 19:49

username是突破点，这漏洞有点简单

回复|@ta|踩(0)|顶(0)
31楼

fantasy70
2025-3-27 15:22

我感觉楼主不如弄个流程图说明下，你这样整几个图还打码看着挺费劲的，重要的是，哎，你说你脱了多少条数据来着😄

回复|@ta|踩(0)|顶(0)
30楼

Lem0nC
2025-3-27 14:30

这种username要么跑字典（zhangsan lisi），要么是根据xi统规律（归属地递增等），要么尝试置空或通配符（*）返回全部

回复|@ta|踩(0)|顶(0)
29楼

猩猩丶
2025-3-27 14:21

好久没遇到这种，小程序直接抓包吗

回复|@ta|踩(0)|顶(0)
28楼

xiaofan321
2025-3-27 12:36

所有人密码都是一样的吗

回复|@ta|踩(0)|顶(0)
27楼

wf98wf
2025-3-26 23:56

MH521：
username置空是不是可以返回全部用户信息
回复|@ta
1

hhh好想法，怕响应太大撑不住

回复|@ta|踩(0)|顶(0)
26楼

ByHuaiNian
2025-3-26 19:16

这是app还是微信小程序了

回复|@ta|踩(0)|顶(0)
25楼

2rpang
2025-3-26 16:46

这么大的量的信息泄露么，那这个小程序用户量挺大啊，还是后端连接着别的平台啊

回复|@ta|踩(0)|顶(0)
24楼

axin1st
2025-3-25 09:06

登录口信息查询的地方不做鉴权，也是够了，把开发拿出去鸡毙。

回复|@ta|踩(0)|顶(0)
23楼

小瑟斯
2025-3-24 16:08

我想问的是，像这种案例，平台能给多少

回复|@ta|踩(0)|顶(0)
22楼

Lufei101
2025-3-24 13:50

遇到过类似的，就是在登陆口会发一个查询用户存不存在的请求包，存在就返回所有数据，最离谱的是备注里写的还是密码

回复|@ta|踩(0)|顶(0)
21楼

hktools
2025-3-24 10:10

请问下像这种通过burp遍历的数据怎么批量导出来了

回复|@ta|踩(0)|顶(0)
20楼

lstib
2025-3-22 11:57

信息泄露无处不在，都是透明人儿😩😩

回复|@ta|踩(0)|顶(0)
19楼

NS_8899
2025-3-21 14:57

hilan1：
这种泄露多的很，尤其是医院
回复|@ta
1

拍脑袋临时弄的网格化的web或者小程序，未授权接口+居民信息（不止三要素，直接到门牌号）。后期也没人维护。

回复|@ta|踩(0)|顶(0)