金融行业用户信息蛮值钱的,获取的方式有多种方式sql注入,xss跨站,命令执行,未授权接口查询等等,今天遇到一个未授权接口查询的漏洞,有验证码,是前端刷新的验证码,后端效验,这种把前端的请求给丢弃好了。是在注册页面上,当用户已经注册了会提示用户存在,用户不存在的时候会发验证码,验证手机号。绕过验证码后,就可以知道那些手机号注册了,那些手机号没有注册。虽然是一个简单的信息泄漏问题,都有那些危害,怎么利用,作为白帽子研究的就少了,灰帽子的方式会有多种多样,这里总结了以下几种利用方式。
1.在黑产中,不需要知道用户密码,只知道了手机号就可以了,还可以通过其他接口查到手机号码主人的名字和身份证信息等,把资料更加精准化,提高资料质量,如果资料库较大的话,可以卖一份不错的价格,一份信息泄漏,直接可以转化为商业价值。
2.还有一些可能不是金融行业,其他行业,单纯知道了手机号意义不大的,要知道账户里面的资料才会比较有价值,这时有一种不太靠谱的做法,收集自己的社工库资源,可能自己的不够强大,需要网上买一些,要先验证部分的有效性,很容易被骗哦。然后利用社工库去写个脚本撞库,之所以所这种方式不太靠谱,是因为成本太大,而最后结果未必是很理想的。
3.接着2继续新姿势利用,可以直接钓鱼,先做一个伪页面,或者直接扒站,把想要的账户,密码都记录下来,以防万一网址被封,用短域名把url转换一下,给对方发到手机号上或者邮箱中,要客户主动把信息送过来不是更靠谱。哪怕金融的有支付密码,也可以搞定。其他行业就更不用说了。用户信息泄漏漏洞新姿势利用技巧
原文:https://blog.51cto.com/010bjsoft/2499823
