【网络安全 | 漏洞挖掘】$15,000——通过持久token获取个人身份信息(PII)

news/2025/3/14 14:52:10/

未经许可,不得转载。

文章目录

    • 绕侧攻击应用程序
    • 发现注册流程中的异常token
    • 调查token泄露
    • Google Dorking 登场
    • Wayback Machine 的作用
    • 影响分析

绕侧攻击应用程序

某金融服务平台提供了测试凭据,允许直接登录测试环境。主应用程序包含数百个功能和端点,因此在测试过程中花费了大量时间。然而,在漏洞赏金活动中,这种方法效果不佳,因为覆盖范围太广,且可能有许多其他安全研究员在研究相同的功能。

为了找到一个关键漏洞,我决定专注于那些被忽视的端点和功能,而不是应用程序表面上显而易见的部分。由于这是一家金融公司,注册流程相对复杂。用户需要填写一份包含个人财务信息的申请表,并提交审核。该申请表中包含极为敏感的个人身份信息(PII),如社会安全号码(SSN)、住址、电子邮件和就业信息。

发现注册流程中的异常token

我的测试从访问注册页面开始:

https://example.com/test/apply/information

在填写基本信息并点击“下一步”后,我通过Burp Suite捕获了所有请求,发现服务器在Set-Cookie头中返回了一个会话令牌:

Set-Cookie: redactedSession=d54f59dbr202bb056df90ff55bc1
文章来源:https://blog.csdn.net/2301_77485708/article/details/146143614
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.ppmy.cn/news/1579070.html

相关文章

AutoSar架构-----XCP模块与协议介绍

1、XCP 模块定义 XCP 一般要求如下图: XCP 导入的类型需要如下表这些头文件: 2、ETAS 工具配置 2.1、XcpGeneral 配置 3、XCP 协议 ASAM-MCD-1MC:ECU 和标定测量系统接口 ASAM-MCD-2MC:即 A2L 文件,是控制器内部信息…

手动实现一个RTTI系统

在 C 中,RTTI(Runtime Type Information,运行时类型信息)是一组允许程序在运行时获取对象类型信息的机制 。虽然C通过虚接口的方式提供了良好的抽象,但是对于一个复杂的系统,过于依赖抽象而忽略业务的复杂性…

【零基础入门unity游戏开发——进阶篇】Unity Microphone类处理麦克风相关信息,录制音频并实时处理或保存录制的音频数据

考虑到每个人基础可能不一样,且并不是所有人都有同时做2D、3D开发的需求,所以我把 【零基础入门unity游戏开发】 分为成了C#篇、unity通用篇、unity3D篇、unity2D篇。 【C#篇】:主要讲解C#的基础语法,包括变量、数据类型、运算符、流程控制、面向对象等,适合没有编程基础的…

IDEA软件安装环境配置中文插件

一、Java环境配置 1. JDK安装8 访问Oracle官网下载JDK8(推荐JDK8,11)Java Downloads | Oracle 双击安装程序,保持默认设置连续点击"下一步"完成安装 验证JDK安装,win+R键 然后输入cmd,输入java -version ,(中间空格,查看JDK版本) 2. 环境变量配置 右键&qu…

每天五分钟深度学习框架PyTorch:ResNet算法模型完成CAFIR十分类

本文重点 ResNet模型已经搭建完成了,本文我们使用ResNet来跑一下CAFIR10的数据集,看一下分类效果如何? 代码 本文总结 在之前的课程中我们对残差块以及ResNet模型进行了详细的介绍,并且我们对模型训练这些基础的数据集进行了详…

Unity 封装一个依赖于MonoBehaviour的计时器(上) 基本功能

灵感来自下面这本书的协程部分,因此我就自己尝试写了一个 我的新书Unity3D游戏开发(第3版) | 雨松MOMO程序研究院 如果你不知道什么是协程:unity保姆级教程之协同程序_unity协同-CSDN博客 一句话概括:协程就是单线程的异步操作,其作用于Unity的主线程 1…

医疗APP开发如何实现跨机构数据互通

医疗APP开发如何实现跨机构数据互通 在数字化医疗时代,医疗APP开发已成为连接医疗机构、患者和医疗资源的重要桥梁。然而,如何实现跨机构的数据互通,成为医疗APP开发中的一大挑战。本文将探讨如何通过医疗APP开发实现跨机构数据互通,提升医疗服务效率和患者体验。我们将涵…

C/C++基数排序(Radix Sort) 的排序算法。

一、代码解释与实现功能: 基数排序是一种非比较型整数排序算法,它通过将整数按位数切割成不同的数字,然后按每个位数分别进行比较和排序。 输入数据: 用户输入一个整数 n,表示数组的长度。 然后输入 n 个整数&#x…