某学院存在信息泄露及暴力破解漏洞
由于网站本身泄露了身份证与考生号,可以通过 site:域名 身份证/学号 这种方式进行收集
进行收集资产的时候发现此登录框,并且可以使用考生号进行登录,而且身份证号为后6位,那么只需要爆破31次就可以爆破出密码
这边我使用的是yakit(个人感觉很好用)
爆破完成之后也是直接拿到了身份证号等其他敏感信息
通过此次实战发现信息收集非常重要,以及细心发现每一个功能点也非常重要
由于网站本身泄露了身份证与考生号,可以通过 site:域名 身份证/学号 这种方式进行收集
进行收集资产的时候发现此登录框,并且可以使用考生号进行登录,而且身份证号为后6位,那么只需要爆破31次就可以爆破出密码
这边我使用的是yakit(个人感觉很好用)
爆破完成之后也是直接拿到了身份证号等其他敏感信息
通过此次实战发现信息收集非常重要,以及细心发现每一个功能点也非常重要
