一如既往的后台接口权限设置问题,不负责任的企业可真多。
接口地址:http://********/users?page=5&verify=-2&university=%E6%9D%AD%E5%B7%9E%E7%94%B5%E5%AD%90%E7%A7%91%E6%8A%80%E5%A4%A7%E5%AD%A6&province=%E6%B5%99%E6%B1%9F&sex=0&sort=0&class=1
(接口都可以通过扫描工具进行扫描,一般的搞站思路也是直接扫描站点相关可访问链接,进行批量信息读取)
得到userid
根据userid得到用户详情
手机号泄露了
该app采用了实名制,需要提交证件照
小清新啊
该漏洞暴露了挺久,虽然已经修复,但是信息应该早就被爬走了,一言难尽。
原文始发于微信公众号(黑客网络安全):泄露大量手机号,证件照。某校园社交APP后台接口无权限认证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论