程序员导航网 程序员导航网

实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金

安全头条 2年前 (2023) safehot
1.4K 0

内容简介:

前言
让我们开始了解我是如何发现导致敏感信息泄露的 API 配置错误的。
设想
这个问题还没有解决,所以我不能透露那个程序的名字。
假设该程序为 https://redacted.com。
Web 应用程序是关于基于团队的组织,那里也有 api 相关的东西。我试图找到 XSS、SQLi、idors,但没有任何效果。
然后我转到 https://YourDomain.redacted.com 有一些组织类型功能,我可以在其中添加或删除其他用户。

添加一些用户后,有一个组织数字 ID 引起了我的注意。

我创建了另一个帐户并尝试添加/删除具有该组织 ID 的帐户用户,但没有任何反应。
在那之后我...

查看原文

? 实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金

版权声明:safehot 发表于 2023-02-02 15:47:53。
转载请注明:实战 | 记一次通过api泄露敏感信息获得的750 美元漏洞赏金 | 程序员导航网

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...
相关文章
从油猴脚本管理器的角度审视Chrome扩展
0
java代码审计-某酒店管理系统
0
从零开始:Django项目的创建与配置指南
0
Spring Boot 编写 API 的 10条最佳实践
0
如何使用XSSFWorkbook读取文本薄?
0
热门文章
暂无文章