声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
本文旨在提醒读者不要轻信前端遮掩符号所带来的安全感,有些符号只是表面功夫,前端遮掩符号虽然能够防止直接暴露敏感信息,但并不意味着数据已经得到了充分的安全保障。
首先对一个站进行了渗透测试,常规测试如SQL注入、xss越权等操作都尝试了未发现漏洞。
那这时候我就发现有一个功能点就是会有展示一些从业人员的姓名等信息。
姓名、身份证、手机号,只有名字是展示出来的,身份证、手机号都是*。
1、身份证、手机号是没有数据就是在前端用*号表示没有实际数据,就是展示作用。
2、身份证、手机号从服务器返回的信息就是脱敏了部分然后展示,如430523********0038,135****6544。
3、身份证、手机号从服务器直接返回,然后在前端展示的时候用*号表示。
既然脑海里面有想法了,那就去抓包看看实际情况是怎样的
只有名字并没有身份证、手机号信息,符合了我第一个猜想都是前端展示,然后又不想放弃那就继续尝试。
直接返回的是未脱敏的信息,符合我第三个想法。利用该漏洞可就直接获取到了大量敏感信息。
原文始发于微信公众号(安全无界):不要太过于相信前端的敏感信息泄露
评论