某信息平台敏感信息泄露

发表于2020/11/18 22:36
1312浏览
0评论
7分钟阅读

01

漏洞标题

某信息平台敏感信息泄露

02

漏洞类型

信息泄露

03

漏洞等级

高危

04

漏洞地址

http://www.xxxxx.org.cn/

05

漏洞详情

信息平台敏感信息泄露，可以直接获取所有高级专家的所有手机号。

专家库具体某一专家信息查看，可以在URL处直接看到手机号。

0x01

访问

http://www.xxxx.org.cn/ExpertView.aspx?id=3&username=13926041501

0x02

批量可以看到每条信息都携带了用户的详细手机号信息。

http://www.xxxx.org.cn/ExpertsList.aspx

涉及到的专家信息共有700多条信息，包含完整的姓名和手机号。

06

漏洞危害

此处可以批量获取到的专家信息共有700多条信息，包含完整的姓名和手机号工作地点，被攻击者获取后可以定点钓鱼等，存在极大的安全风险。

07

建议措施

敏感信息做脱敏处理，不反回手机号等敏感信息。

PS：本文仅用于技术讨论与分析，严禁用于任何非法用途，违者后果自负。

IP地址精准查询

如何进行内网信息收集

获取更多资讯请加入交流群

评论