记一次key泄露和逻辑漏洞

admin 2024年11月7日17:21:21评论13 views字数 350阅读1分10秒阅读模式
简述:

现在地图类的api的key泄露,还是挺多的,但是具体是否收录还是得看所对应的企业src的评分/收录要求。

key泄露:

A、打开提示,提示没有访问权限

记一次key泄露和逻辑漏洞
B、直接查看源代码即可:

记一次key泄露和逻辑漏洞

C、调用使用key:

记一次key泄露和逻辑漏洞
D、危害:消耗额度,当额度被消耗完毕后,会造成地图加载异常,定位服务无法使用等,影响用户体验。

E、修复建议:添加白名单

小逻辑漏洞:

A、一打卡小程序:

(要输入对应的手机号才可以进行对应的打卡等操作)

记一次key泄露和逻辑漏洞
B、如果将手机号修改为其它的,例如:15234615462 这样的 ,会提示:学员信息不存在

记一次key泄露和逻辑漏洞
C、手机号修改为:13000000000,即可得到用户信息,

记一次key泄露和逻辑漏洞
D、越权操作他人用户;

记一次key泄露和逻辑漏洞
小总结:

都是一些很简单基础漏洞,有时候可能换个思维方法,可能会有一定的收获。

 

原文始发于微信公众号(青春计协):记一次key泄露和逻辑漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月7日17:21:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次key泄露和逻辑漏洞https://cn-sec.com/archives/3369024.html

发表评论

匿名网友 填写信息