某网站登录页面存在用户手机号信息泄露

企业开发 2020-10-27 10:32:49 阅读次数: 0

漏洞利用

在这里插入图片描述
输入用户名，界面将弹出手机号，看似手机号被隐藏了，但是通过抓取http包，发现后台其实返回了手机号，由此可知，改手机号只在前端做了隐藏处理。

而且该接口没有做任何校验，可以任意调用，于是开启了BurpSuit的爆破征程。
在这里插入图片描述
通过该接口可以爆出大量已注册的手机号，导致手机号信息泄露。

漏洞修复

后端不要返回手机号，应同前端一样，隐藏中间四位。

想学习更多网络安全的知识，可以关注公众号“SCLM安全团队”。
在这里插入图片描述

猜你喜欢

转载自blog.csdn.net/lynnlovemin/article/details/109291251

某网站登录页面存在用户手机号信息泄露

微信小程序授权登录获取用户信息与手机号

小程序获取手机号和用户信息一键登录

java实现小程序获取微信登录，用户信息，手机号，头像

uniapp手机号授权登录-现在只能通过手机号授权登录，后台来获取用户信息了效果demo(整理)

Taro -- 获取手机号及用户信息

某直播平台泄露主播手机号

手机号登录流程

（详细版）java实现小程序获取微信登录，用户信息，手机号，头像

公众号和小程序获取用户信息及获取手机号

django项目中如何自定义用户认证模块，使得支持用户名和密码或者手机号和密码登录网站

python判断给定的手机号是否存在

Spring Security实现用户名或者手机号登录

支持用户名与手机号均可作为登录账号

Shiro之用户名密码或手机号短信登录（多realm认证）

cas支持手机号和用户名登录

小程序获取用户手机号登录

微信小程序获取手机号授权用户登录功能

手机号发验证码实现用户注册登录

微信小程序中如何获取用户手机号授权登录

微信小程序获取各类信息（openid、session_key以及用户基本信息、解密unionId、手机号）及登录机制

注册页面验证用户名和手机号

微信小程序--对接用户信息（后端解密 unionId 和手机号）

小程序登陆授权(获取用户手机号以及信息)

uniapp微信小程序授权手机号和授权用户信息

支付宝小程序获取用户信息及手机号

Python脚本抓取信息泄露，获取心怡妹子手机号并添加微信！

小程序开发用户信息之登录、UnionID机制、授权、开放数据校验与解密、获取微信绑定手机号、生物认证

登录手机号正则验证

Flutter布局锦囊---手机号登录页

今日推荐

LFOSSA 源来如此公开课 | 掌握云原生未来：CNCF 认证全面攻略与备考秘籍

国产云输入法——仅华为无云端数据上传安全问题

开源日报 | 工业开源项目OGG 1.0；姐姐，你要和我一起配置火狐吗；苹果AI遥遥落后？Fedora 40

开放签电子签章：停止新增，优化体验，前进更进（五一假期前工作）

开源日报 | 中学生开源前端动画引擎；全球首个Llama3 8B中文版开源模型；联想电脑恐出局；Linus讽刺AI炒作

“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析

周排行

Family Tree 题解

BZOJ 1093 最大半连通子图 SCC + DP

幂等处理

Spring----学习（2）----XML 配置Bean 自动装配

SQL Server 远程更新目标表数据

HIbernate3.6 环境搭建

特殊符号正则表达式

【Linux】第一章进程的理解

843. n-皇后问题（dfs+输出各种情况）

空间数据库2

每日归档

更多

2024-04-26(39)

2024-04-25(22)

2024-04-24(36)

2024-04-23(26)

2024-04-22(39)

2024-04-21(0)

2024-04-20(6)

2024-04-19(5)

2024-04-18(0)

2024-04-17(5)