记一次key泄露和逻辑漏洞 admin 125445文章 98评论 2024年11月7日17:21:21评论13 views字数 350阅读1分10秒阅读模式 简述: 现在地图类的api的key泄露,还是挺多的,但是具体是否收录还是得看所对应的企业src的评分/收录要求。 key泄露: A、打开提示,提示没有访问权限 B、直接查看源代码即可: C、调用使用key: D、危害:消耗额度,当额度被消耗完毕后,会造成地图加载异常,定位服务无法使用等,影响用户体验。 E、修复建议:添加白名单 小逻辑漏洞: A、一打卡小程序: (要输入对应的手机号才可以进行对应的打卡等操作) B、如果将手机号修改为其它的,例如:15234615462 这样的 ,会提示:学员信息不存在 C、手机号修改为:13000000000,即可得到用户信息, D、越权操作他人用户; 小总结: 都是一些很简单基础漏洞,有时候可能换个思维方法,可能会有一定的收获。 原文始发于微信公众号(青春计协):记一次key泄露和逻辑漏洞 点赞 https://cn-sec.com/archives/3369024.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论