制度法规

《个人信息去标识化指南》

一、 “告知-同意”以外 “网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。” ——《网络安全法》第四十二条第...
阅读全文
安全文章

实战-EDU证书挖掘

No.1 挖洞过程 通过信息收集获得了某个学生的身份证后四位,再通过爆破尝试获得了后6位并登录成功 登录该校办事大厅进入学校某功能处 存在遍历接口,能够遍历所有学生、教职工的个人信息包含身份证、学号、...
阅读全文
安全文章

src|简简单单任意用户注册

作为一名登陆口对抗工程师,看到这样的注册框自然是要碰一碰的 先输入邮箱以及对应信息,发现姓名可以随便,没有校验: 点击注册之后,会向邮箱发送一封验证邮件,这是比较常见的(这里提示注册成功其实并没有,需...
阅读全文