github托管代码导致的敏感信息泄露

2025年5月15日17:57:34评论1 views字数 440阅读1分28秒阅读模式

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

关注公众号，设置为星标，不定期有宠粉福利

Part-01

背景

日常开展SRC测试，收集到某站点的系统信息，通过在github中搜索系统关键字，发现此系统代码，并通过拼接系列的api接口，发现未授权漏洞，导致大量敏感信息泄露。

Part-02

实战

通过系统信息，在github中发现的系统代码，其中泄露了数据查询导出接口。

通过发现的接口，拼接到对应的域名下，提示参数错误。

按照提示及审计代码中的提示，在请求接口中填写请求参数date。

最终访问接口为https://xxx/xx?date=202x-06-07，通过此接口可获取任意日期范围内的大量敏感数据。因涉敏，厚码。

Part-03

总结

渗透的本质是信息收集，本案例说明在github中搜索敏感信息系列的重要性。

原文始发于微信公众号（锐鉴安全）：github托管代码导致的敏感信息泄露

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

波兰破获跨国DDoS攻击平台抓获4名嫌疑人

本文由 admin 发表于 2025年5月15日17:57:34
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
github托管代码导致的敏感信息泄露https://cn-sec.com/archives/4048570.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.