【网络安全 | 漏洞挖掘】$15,000——通过持久token获取个人身份信息(PII)

server/2025/3/18 16:39:53/

未经许可,不得转载。

文章目录

    • 绕侧攻击应用程序
    • 发现注册流程中的异常token
    • 调查token泄露
    • Google Dorking 登场
    • Wayback Machine 的作用
    • 影响分析

绕侧攻击应用程序

某金融服务平台提供了测试凭据,允许直接登录测试环境。主应用程序包含数百个功能和端点,因此在测试过程中花费了大量时间。然而,在漏洞赏金活动中,这种方法效果不佳,因为覆盖范围太广,且可能有许多其他安全研究员在研究相同的功能。

为了找到一个关键漏洞,我决定专注于那些被忽视的端点和功能,而不是应用程序表面上显而易见的部分。由于这是一家金融公司,注册流程相对复杂。用户需要填写一份包含个人财务信息的申请表,并提交审核。该申请表中包含极为敏感的个人身份信息(PII),如社会安全号码(SSN)、住址、电子邮件和就业信息。

发现注册流程中的异常token

我的测试从访问注册页面开始:

https://example.com/test/apply/information

在填写基本信息并点击“下一步”后,我通过Burp Suite捕获了所有请求,发现服务器在Set-Cookie头中返回了一个会话令牌:

Set-Cookie: redactedSession=d54f59dbr202bb056df90ff55bc1

http://www.ppmy.cn/server/176004.html

相关文章

课程分享 | 智能网联汽车网络安全测试框架

汽车智能化带来巨大网络安全风险 据公安部2024年1月统计,我国汽车保有量已达3.36亿辆,全国有94座城市汽车保有量超过100万辆。 与此同时,智能网联汽车的发展势头迅猛。2023年我国搭载组合驾驶辅助系统的智能网联乘用车新车销售约950万辆&…

鸿蒙路由 HMrouter 配置及使用一

1、学习链接 HMRouter地址 https://gitee.com/hadss/hmrouter/blob/dev/HMRouterLibrary/README.md 2、工程配置 下载安装 ohpm install hadss/hmrouter 添加编译插件配置 在工程目录下的build-profile.json5中,配置useNormalizedOHMUrl属性为true (我这项目创…

go语言学习教程推荐,零基础到做项目

一、基础入门阶段 官方教程(免费) • A Tour of Go:交互式入门教程,边学边练 • Go by Example:通过300代码片段学习语法 入门书籍 • 📘《Go语言圣经》中文版(免费在线阅读)&#…

笔记:代码随想录算法训练营day55:LeetCode42. 接雨水、84.柱状图中最大的矩形

学习资料:代码随想录 42. 接雨水 力扣题目链接 暴力解法超时了,直接从双指针开始 双指大概思路为创立两个数组记录两侧的最大值,这里的最大值是真正的最大的值,而不是最近的那个比较大的值,即所谓的按列计算&#…

visual studio code C++开发基础配置

1、下载安装 Visual Studio Code - Code Editing. Redefined 安装完成后打开vscode,点击红色圈出区域,在搜索框分别搜索“C/C”以及“chinese”,安装C/C插件(必须有)与简体中文插件 2、安装MinGW-w64 从清华大学镜像下载网速更快更稳定 ms…

二、vtkCommand的使用

一、概述 vtkCommand是VTK中的一个重要的类,用于处理事件和回调机制。它允许用户在特定事件发生时执行自定义的操作,例如在交互操作、数据更新或渲染过程中触发某些功能。 二、主要功能 1、事件处理:vtkCommand用于监听和处理VTK管线中的各…

Python学习第十八天

Django模型 定义:模型是 Django 中用于定义数据库结构的 Python 类。每个模型类对应数据库中的一张表,类的属性对应表的字段。 作用:通过模型,Django 可以将 Python 代码与数据库表结构关联起来,开发者无需直接编写 S…

网页制作代码html制作一个网页模板

制作一个简单而实用的网页模板:HTML基础入门 在数字时代,网页已成为信息展示和交流的重要平台。HTML(HyperText Markup Language)作为网页制作的基础语言,为开发者提供了构建网页的基本框架。本文将带你了解如何使用H…