收入约8k的一次众测记录
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
本文介绍了一次众测记录中发现的未授权漏洞和数据泄露问题,包括弱邀请码FUZZ方法、身份证泄露、水平越权修改日志和存储型XSS漏洞。提出了修复建议,如修改弱邀请码、最小权限原则处理身份、匿名化处理敏感数据等。
🎯
关键要点
- 本文记录了一次众测中发现的未授权漏洞和数据泄露问题。
- 未授权漏洞的测试方法包括清除cookie和使用两个浏览器进行水平越权测试。
- 发现弱邀请码FUZZ方法,很多单位的邀请码是单位名字的拼音缩写。
- 通过弱邀请码进入某大学后,获得超级管理员权限。
- 泄露了3000+人员的姓名和手机号码,身份证等敏感信息也被泄露。
- 水平越权可以修改他人日志,结合存储型XSS可大规模盗取cookie。
- 提出修复建议,包括修改弱邀请码、最小权限原则、匿名化处理敏感数据等。
- 建议学校不要使用拼音首字母作为邀请码,使用随机生成的邀请码。
- 身份证件号码在数据库查询时应限制返回,建议进行数据匿名化处理。
➡️
