Отказ от ответственности: Пожалуйста, соблюдайте Закон о кибербезопасности. Эта статья предназначена только для справки для законного и авторизованного тестирования на проникновение.

Библиотека социальной работы

Собрать информацию, утекшую из Интернета, в базу данных, проще говоря: хакерскую базу данных.

【Примечание】Создать Библиотеку в частном порядке социальной работыне только нарушает этику,и нарушил соответствующие законы и правила,Это незаконно. Поставщики правовой информации должны осуществлять свою деятельность в рамках правового поля.,Убедитесь, что все действия полностью авторизованы,И соблюдать национальные законы и правила.

Вот некоторые юридические URL-адреса базы данных запросов личной информации:

https://www.reg007.com/ (Проверьте, на каких сайтах зарегистрированы ваш адрес электронной почты и номер мобильного телефона)

https://haveibeenpwned.com/ (Проверьте, не просочился ли адрес электронной почты)

https://snusbase.com/search (адрес электронной почты, имя пользователя, IP-адрес, значение HASH)

Многомерный сбор информации

• Через приложения и мини-программы
• Через социальные сети, такие как официальные аккаунты WeChat, Douyin, Kuaishou, Bilibili, Zhihu, Feishu, форумы, Weibo и т. д.
• Через целевую группу qq
• через разведку угроз
• С точки зрения разработчика веб-сайта
• С точки зрения эксплуатации и технического обслуживания
• Получить целевую информацию с точки зрения архитектора

Включение веб-поисковой системы

Хранилище данных не имеет прав доступа или обработки, препятствующей сканированию, что приводит к сканированию поисковыми системами.

Передача через WEB

Как правило, рядом с номером мобильного телефона или учетной записью электронной почты, введенной в офисе перевода, отображается историческая информация о переводе. После нажатия вы можете увидеть информацию о переводе. Из-за неполного шифрования вы можете перехватить пакет, чтобы просмотреть настоящее имя.

Логические лазейки в трансферной конторе, приводящие к утечке информации из-за превышения полномочий

Ultra vires - произвольный просмотр

• Платформа не выполняет сложное форматирование загружаемых файлов, например: XXX.com/xxx/xx/012313.jpg
• Файлы могут легко вызвать произвольное чтение или уничтожение пути.

Ultra vires - произвольная модификация

Пользователь может изменить идентификатор на любой идентификатор при совершении транзакции заказа, а затем сервер может вернуться и просмотреть другую информацию о пользователе, например адрес доставки.

Утечка информации о пользовательском интерфейсе интерфейса-теста

Когда веб-сайт был онлайн, я забыл закрыть интерфейс во время тестирования, в результате чего этот интерфейс смог запрашивать большой объем пользовательской информации.

Информация о сотрудниках утекла

Проблема со слабым паролем

• Пароль внутреннего системного сотрудника является слабым паролем или серверным паролем по умолчанию.
• Пароль управления — это пароль разработки, например: admin, test.

Утечка информации приложения

• Частная информация хранится локально без шифрования.
• Внешняя информация в порядке, но во время захвата пакетов возвращается слишком много информации, а внешняя и внутренняя разработка несовместимы.

Некоторые изображения в этой статье взяты из учебного курса для сертифицированных инженеров службы безопасности Sangfor. Они предназначены для удобства личного изучения и использования и не предназначены для коммерческого использования! ! ! ! Текстовый контент набран лично мной, а не перенесен напрямую! Если есть какие-либо нарушения, пожалуйста, свяжитесь с нами, чтобы удалить их! ! !

Информация, представленная в этом документе, предназначена только дляОбразовательные цели и тестирование на проникновение с явным разрешением。Любое несанкционированное использование технической информации, содержащейся в этом документе, строго запрещено.,И может нарушать «Сетевой закон Китайской Народной Республики» и связанные с ним законы и правила. Пользователи должны использовать полученные знания законным и соответствующим требованиям образом.,Он не может использоваться для незаконного вторжения, разрушения информационных систем и других злонамеренных действий. Мы настоятельно рекомендуем всем читателям соблюдать местные законы и этические правила.,Исследуйте информационные технологии в пределах правовых границ.

Я участвую в 21-дневном конкурсе Tencent по созданию технологий 2024 года: специальный сезон обзоров в середине года, накопление технологий в середине года, сохраните свой флаг, приходите и разделите со мной главный приз!