漏洞利用 输入用户名,界面将弹出手机号,看似手机号被隐藏了,但是通过抓取http包,发现后台其实返回了手机号,由此可知,改手机号只在前端做了隐藏处理。 而且该接口没有做任何校验,可以任意调用,于是开启了BurpSuit的爆破征程。 通过该接口可以爆出大量已注册的手机号,导致手机号信息泄露。 漏洞修复 后端不要返回手机号,应同前端一样,隐藏中间四位。 想学习更多网络安全的知识,可以关注公众号“SCLM安全团队”。