申明:请遵守网络安全法,本文仅供合法已授权渗透测试参考使用
将互联网泄露的信息汇聚成数据库,简单说:黑客数据库。
【注】私自搭建社工库不仅违反了道德规范,而且触犯了相关法律法规,是违法行为。合法的信息安全从业者应当在法律框架内进行活动,确保所有行为都有充分的授权,并符合国家的法律法规要求。
下面给出一些合法的个人信息查询数据库网址:
https://www.reg007.com/ (查询邮箱、手机号注册过哪些网站)
https://haveibeenpwned.com/ (查询邮箱是否被泄露)
https://snusbase.com/search (邮箱、用户名、IP地址、HASH值)
数据存放未设置访问权限或者防爬处理,造成搜索引擎爬取
一般在转账处输入手机号或邮箱账户的旁边,有一个历史转账信息,点击以后可以看到转账信息,由于加密不全,可以抓包查看真实姓名
转账处逻辑漏洞,越权造成信息泄露
用户在进行订单交易时可以将ID修改成任意ID,然后服务器返回可以查看其它用户信息,如:收货地址。
网站在上线的时候,忘记把测试时的接口进行关闭,从而导致这个接口可以查询大量用户信息。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。