JS敏感信息泄露到任意账号登录

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

最近接到一个站点的授权测试，是一个登录系统，客户表示要模拟黑客攻击，所以不提供测试账号。美其名曰，检验你们单位技术团队实力的时候到了，这能忍，那必然能忍，要是真输出不了东西呢。话不多说，直接开始正文。

打开测试系统，如下。

直接尝试口令爆破，无果。从JS中找到接口信息如下。

直接拼接尝试未授权访问，依旧无果。完了，又到了一筹莫展的时候了，于是在JS中一顿找，忽然发现了一个有趣的信息，这不是妥妥的账号密码嘛。

直接拿来登录，如下，成功进入系统，一个字，刺激。

赶紧拿着图找到客户，客户一脸震惊的样子令我甚是舒心，结果客户来一句这个可以的，里面的数据敏感，你不要碰哈，其他的你继续，我：........。

那不看里面，就只有拿前面抓的报文分析了，看看有没有什么漏网之鱼，这不看还好，一看发现还真有。找到如下报文，应该是登录时候的二次判断，好家伙，直接修改username为admin，成功获取系统管理员的登录凭证。

用获取到的登录凭证访问个人信息接口，如下。

梅开二度，再次找到客户，然后写完报告，美滋滋地结束测试。

原文始发于微信公众号（安全无界）：JS敏感信息泄露到任意账号登录