HanDs
管理员

[7月漏洞公开] 百度某接口设计不当可泄漏用户绑定信息 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

百度某接口设计不当可爬取所有用户信息

详细说明:

http://m.baidu.com/searchbox?action=userx&type=search&service=bdbox&osname=baidubox&data={%22content%22:%2218601350679%22}

带cookies访问可查询用户手机。

其中18601350679可修改为任意手机号,可通过穷举方式获取用户信息。

漏洞证明:

Screen Shot 2016-05-20 at 01.44.40.png



display_name即为用户名

修复方案:

对传递参数及返回数据进行加密。


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
百度 接口 设计 不当 泄漏 用户 绑定 信息
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复