当前位置:首页 > 文章 > 代码审计

意想不到的账号信息泄露

admin2个月前 (12-30)代码审计96
摘要:这是挺久之前的一次授权测试了,回看还是觉得这个漏洞挺有意思的,有时候都在想这似乎是开发老哥给自己留的小后门(玩笑玩笑),不多说,直接开始正文吧。…

这是挺久之前的一次授权测试了,回看还是觉得这个漏洞挺有意思的,有时候都在想这似乎是开发老哥给自己留的小后门(玩笑玩笑),不多说,直接开始正文吧。

目标还是一如既往的登录系统,一顿操作下来啥收获也没有。
曾经猛的一批的撞库攻击和API未授权访问都没有收获。
走测绘平台看了一下,这个资产在其他端口还有服务,emmmm,小瞅一下。同样是登录系统,但似乎看起来登录接口不太一样,先不管,一通测试,结果还是颗粒无收。
先记录一下这个登录API,后面它就是关键的MVP,这有点难整呀,2边都没有啥收获。
正在我一筹莫展,准备放弃的时候,闲着没事,想看看2边登录API是否可以互通使用一下,emmm,就是这么一个奇妙地想法,给我带了个意想不到的收获。
这响应的似乎有点不太一样,通过多次比对尝试发现,这响应的2个参数分别是判断账号是否存在的true or false和账号的密码。好家伙,这是怎么能想到这么操作的呀,直接登录超级管理员账号。
不得不说,漏洞意不意外还是得看开发老哥操作骚不骚呀。


扫描二维码推送至手机访问。

版权声明:本文由日常随记发布,如需转载请注明出处。

本文链接:https://www.7x0.cn/post/5.html