警告

本案例中所有内容均已授权上报,不会公开详细EXP代码,该案例仅供学习。

一张二维码引发的信息泄露

从该截图中获取到的信息

无从入手先抓包

测试第一个数据包发现,传输的sfz号码使用的是BASE64加密,根据访问的文件checkLogin猜测该接口是验证登录状态的

第二个数据包,暂且不知道什么,pass掉

第三个数据包,出现了billId字段

服务器返回了敏感数据,通过base64解密loginInfo字段发现存在身份证号泄露

注意:本次测试将获取不超过五条数据,进行验证漏洞

猜测泄露数据总量大概在10w+人(该测试组织至少泄露3k人以上),测试到此结束,上报漏洞

问题

根据DREAD威胁评级模型给出相应风险等级

D(2)+R(3)+E(3)+A(2)+D(3)=13

高危

# 黑客 # 数据泄露 # web安全 # 数据安全 # 灰产圈

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

已在FreeBuf发表 0 篇文章

本文为独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多