丝滑的三要素信息泄露

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

前段时间有个客户临时来了个需求，想看看他们子公司业务是否安全，让我帮忙瞅瞅，没有设目标才是最大的目标，臭嗨，加大工作量啊，这不是。

二话不说，先收集下子公司的资产。各种域名枚举呀，测绘平台呀，来回倒腾，就是没有发现一个好用的资产，本来想着那就这样吧，点到哪个就仔细瞅瞅。这不就点到了一个登录系统。

emmmm，没有注册，不过没有关系，爆破大法走起，一顿撞库，愣是没有找到一个。行吧，看来这次是个硬茬。看了看api，额，好家伙，也没有啥呀。

看样子要止步于此了呀，这不能怪我，开发老哥太强，哈哈，正准备给客户回复安全的时候，看到页面下时不时会有个小拉窗，似乎看着有令人沉醉的手机号，虽然基本都脱敏啦，但是还是诱人。

小小瞧一手，看看是不是前端操作的，伊～不瞧不行，还真是（这里有不少类似的情况，虽然少，但是还是会有）。可以把加密的逻辑删了，也可以直接从api里获取，如下。

总结，还是不能太相信插件，有些api还是没有完全识别到呀，搞得我心情一上一下的。

推荐站内搜索：最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……

宙飒zhousa.om

还没有评论，来说两句吧...