hi 各位好久不见了,最近我有点懒了,由于接了个项目,后来感觉自己又行了跑去挖src了,突然发现好久没更新了,在这里给各位道个歉哈。更新有点慢,正好放假,就讲讲最近发现的一些有意思的漏洞吧。
老规矩 废话不多说,直接开始, 上图
案例一
该系统存在用户枚举加密码格式泄漏,输入错误用户名会提示无该用户,输入正确用户会提示密码错误 ,继续查找发现js里面泄漏了密码规则,用户名+05xx
先已经弄到一个用户名,然后尝试登陆,发现竟然可以登陆上去,验证漏洞存在。
案例二
json中直接暴露所有用户密码
这个也有点意思,就是拿给好兄弟一起测试他说他没有泄漏这个数据出来,后来我发现需要自己尝试登陆一次 用户名密码随意登陆,只要有登陆请求不管正确错误,你burp都会有一个请求post请求里面存在一个json数据里面就账户密码,不可思议哈,好兄弟起初说没有,后来尝试了下发现确实如此。
以上漏洞已经提交且修复,切勿花心思去这上面,分享给大家是希望大家在平时渗透的时候更加仔细一点。一定要多看js里面的一些东西 也要看看自己的burp里面的请求记录能让你找到不少东西。
再来句 要加群的公众号直接回复加群,大家一起进来吹牛聊天交朋友。群画风有点怪 希望大家别介意。
特别声明:
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,我不为此承担任何责任。
作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。切勿用于非法,仅供学习参考
我不会渗透,我们下次再见!
原文始发于微信公众号(深夜笔记本):2个关于信息泄漏,挖洞需要更加仔细才行
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论