SRC实战 | 信息泄露挖掘
1. 信息搜集
首先老语法先搜集一波,毕竟没有钓鱼和sg的能力,只能找注册站去挖挖了。
web.title=”XX大学”&&web.body=”忘记密码”&&web.body=”注册”
2. 漏洞挖掘
这里找到一个可以注册网站接口,先随便注册一个进去看看。
这里提供一个临时邮箱,保护自己的隐私也很重要。还是挺好用的哦!
https://temp-mail.org/zh/
注册完成登陆,点击个人中心里面我的队伍,然后创建一个。
这里结合Highlighter And Extractor (HaE)这个bp插件可以发现一些敏感信息泄露。
抓包之后发现,里面存在用户的敏感信息,身份证手机号以及个人ID等。
3. 总结
测试小技巧:测试的时候需要开启BP,可以先进入网站各个功能点一下,之后再查看HTTP历史记录,并搭配BP的插件,说不定漏洞就会展现到你面前。因为某些网站有些接口的功能,虽然前端页面不显示,但是返回包有时会泄露敏感信息。
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
免费领取安全学习资料包!
渗透工具
技术文档、书籍
面试题
帮助你在面试中脱颖而出
视频
基础到进阶
环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
应急响应笔记
学习路线
