輸入使用者名稱,介面將彈出手機號,看似手機號被隱藏了,但是通過抓取http包,發現後臺其實返回了手機號,由此可知,改手機號只在前端做了隱藏處理。 而且該介面沒有做任何校驗,可以任意呼叫,於是開啟了BurpSuit的爆破征程。 通過該介面可以爆出大量已註冊的手機號,導致手機號資訊洩露。
後端不要返回手機號,應同前端一樣,隱藏中間四位。
想學習更多網路安全的知識,可以關注公眾號「SCLM安全團隊」。
