大家好,我是心锁,一枚23届准毕业生。
这次的文章我不太清楚能不能发?因为涉及到一些新的缺陷。
是的~距离上次我们找出快手官网的BUG,这次又双叒叕找到了一些缺陷。
这次更严重了,不仅覆盖的面积更广,而且影响范围更大。
废话不多说,且看
这些是啥?这是我在各个大小厂招聘官网通过F12直接查看到的接口数据,也就是基本对应下图中的item
看到这里理解了么,这些代表着各个岗位具体的HC!!!
经过笔者的一一探查,目前曝光HC的大小厂包括:
head_count:null
)这些厂都有一个特点,都属于飞书系招聘网站。
也就是说,理论上全都中招,hc通通泄漏!
而且不仅是飞书系招聘,目前发现大量招聘网站的接口返回中都存在大量冗余,覆盖到base、hc、岗位发布人等等信息!
(如图是京东官网的,contacts
泄漏了联络人)
这些事情提醒了我们什么呢?
近期频出的接口安全问题反映了一个接口责任边界的问题,上次的接口问题是提醒我们在后端需要对接口数据做校验,今天的接口问题则提醒我们前后端需要明确接口责任边界,降低接口风险,避免泄漏冗余信息。
今天你看到的是HC,如果你之后直接看到了其他人简历的下载链接呢?
小短文就到这里~我不太敢将具体泄漏情况发上来,下边附一些官网链接伐~
注意~F12,找接口