edu实战 - 就业信息系统接口泄露敏感信息泄露

admin
admin
admin
140350
文章
117
评论
2024年12月22日18:35:36评论13 views字数 429阅读1分25秒阅读模式
本文由掌控安全学院 -  momo7967 投稿

Track安全社区投稿~  

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

某985学生就业信息网接口泄露敏感信息泄露

漏洞发现

看见这种硬核985网站只能burp翻接口

edu实战 - 就业信息系统接口泄露敏感信息泄露img

点击到搜索岗位的页面com_id这个参数好像是代表每一个发布职位的人(接下来有用)

edu实战 - 就业信息系统接口泄露敏感信息泄露img

一共有5w条

edu实战 - 就业信息系统接口泄露敏感信息泄露img

 

点进发现页面只有投递邮箱,没有其他发布职位人的信息。

edu实战 - 就业信息系统接口泄露敏感信息泄露img

 

再翻阅burp包,id实际上就是com_id

edu实战 - 就业信息系统接口泄露敏感信息泄露img

在这个请求包中可以看见发布职位人的电话!这个是在页面上面没有的

edu实战 - 就业信息系统接口泄露敏感信息泄露img

另外一个数据包则更全、发布人姓名、电话、邮箱。

edu实战 - 就业信息系统接口泄露敏感信息泄露img
edu实战 - 就业信息系统接口泄露敏感信息泄露img

成功拿下5w条敏感信息、只需要替换com_id则可以查询

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

edu实战 - 就业信息系统接口泄露敏感信息泄露

 

原文始发于微信公众号(掌控安全EDU):edu实战 - 就业信息系统接口泄露敏感信息泄露

 





							

						
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
	
				
				

	
    
		
  • 
			左青龙
		
    • 
		
  • 微信扫一扫
    • 
		
  • 
			weinxin
		
    • 
	

	
    
		
  • 
			右白虎
		
    • 
		
  • 微信扫一扫
    • 
		
  • 
			weinxin
		
    • 
	

	



	
	

		

				

	


	




								

			
		

	
									

					admin				
    
											
  • 本文由  发表于 2024年12月22日18:35:36
    • 
						
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  
edu实战 - 就业信息系统接口泄露敏感信息泄露https://cn-sec.com/archives/3539868.html

                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

    • 
			

	



				
				

				
										

				
				

	

			

	




				
				

			



	


				




	
	
			

		

							

											

														

																	
发表评论

																匿名网友
								填写信息