​某信息平台敏感信息泄露

华盟原创文章投稿奖励计划

文章来源: EDI安全

01

漏洞标题

某信息平台敏感信息泄露

02

漏洞类型

信息泄露

03

漏洞等级

高危

04

漏洞地址

http://www.xxxxx.org.cn/

05

漏洞详情

信息平台敏感信息泄露,可以直接获取所有高级专家的所有手机号。

专家库具体某一专家信息查看,可以在URL处直接看到手机号。

0x01

访问

http://www.xxxx.org.cn/ExpertView.aspx?id=3&username=13926041501

某信息平台敏感信息泄露

0x02

批量可以看到每条信息都携带了用户的详细手机号信息。

http://www.xxxx.org.cn/ExpertsList.aspx

某信息平台敏感信息泄露

涉及到的专家信息共有700多条信息,包含完整的姓名和手机号。

某信息平台敏感信息泄露

06

漏洞危害

此处可以批量获取到的专家信息共有700多条信息,包含完整的姓名和手机号工作地点,被攻击者获取后可以定点钓鱼等,存在极大的安全风险。

07

建议措施

敏感信息做脱敏处理,不反回手机号等敏感信息。

www.idc126.com

PS:本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负

本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/272041.html

发表评论