某学院存在信息泄露及暴力破解漏洞
由于网站本身泄露了身份证与考生号,可以通过 site:域名 身份证/学号 这种方式举行收集https://img2024.cnblogs.com/blog/3446332/202411/3446332-20241125103606064-899613692.png
举行收集资产的时候发现此登录框,并且可以使用考生号举行登录,而且身份证号为后6位,那么只需要爆破31次就可以爆破出密码
这边我使用的是yakit(个人感觉很好用)
https://img2024.cnblogs.com/blog/3446332/202411/3446332-20241125103748231-43075715.png
爆破完成之后也是直接拿到了身份证号等其他敏感信息
https://img2024.cnblogs.com/blog/3446332/202411/3446332-20241125110551479-1713523310.png
通过此次实战发现信息收集非常重要,以及细心发现每一个功能点也非常重要
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]