由于传播、利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人承担,Cyb3rES3c及文章作者不承担任何责任。如有侵权烦请告知,我们将立即删除相关内容并致歉。请遵守《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》等相关法律法规。
该设计缺陷在找回密码处
Google语法搜索学号,发现一个带有地址的学生信息
输入学号,抓包
发现响应包中有脱敏的手机号,手机号有11位,系统只对中间四位数进行了处理,所有以185、7088为首位的手机号有10000个,利用python中的手机号信息查询可筛选一部分手机号
设计缺陷就在找回密码的第二步,当输入一个未绑定的手机号时会提示输入正确的绑定手机号
当输入正确绑定的手机号时会提示发送成功
所以可以遍历已筛选的手机号,找到对应学生的手机号
这种身份验证有时是不会检查手机号是否绑定的,找回密码过程中会直接向输入的手机号发送验证码,这会造成两个问题,一是短信资源的浪费,二是由于可以向任意手机号发送验证码,这就可能导致身份确认失效。
有时候安全和便利是冲突的,所以网络安全建设之路任重而道远!
原文始发于微信公众号(Cyb3rES3c):记一次由设计缺陷导致的敏感信息泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论