渗透测试信息收集技巧(7)——社工库和多维度信息收集

申明：请遵守网络安全法，本文仅供合法已授权渗透测试参考使用

社工库

将互联网泄露的信息汇聚成数据库，简单说:黑客数据库。

【注】私自搭建社工库不仅违反了道德规范，而且触犯了相关法律法规，是违法行为。合法的信息安全从业者应当在法律框架内进行活动，确保所有行为都有充分的授权，并符合国家的法律法规要求。

下面给出一些合法的个人信息查询数据库网址：

https://www.reg007.com/ （查询邮箱、手机号注册过哪些网站）

https://haveibeenpwned.com/ （查询邮箱是否被泄露）

https://snusbase.com/search （邮箱、用户名、IP地址、HASH值）

多维度信息收集

• 通过app、小程序
• 通过微信公众号、抖音、快手、B站、知乎、飞书、论坛、微博等社交媒体
• 通过目标qq群
• 通过威胁情报
• 通过网站开发者角度
• 通过运维角度
• 通过架构师角度去获得目标相关信息

WEB方面一搜索引擎收录

数据存放未设置访问权限或者防爬处理，造成搜索引擎爬取

WEB方面一转账

一般在转账处输入手机号或邮箱账户的旁边，有一个历史转账信息，点击以后可以看到转账信息，由于加密不全，可以抓包查看真实姓名

转账处逻辑漏洞，越权造成信息泄露

越权一任意查看

• 平台没有对上传的文件进行复杂格式化处理，例如:XXX.com/xxx/xx/012313.jpg
• 文件易造成任意读取或者路径爆破

越权一任意修改

用户在进行订单交易时可以将ID修改成任意ID，然后服务器返回可以查看其它用户信息，如:收货地址。

接口-测试接口用户信息泄露

网站在上线的时候，忘记把测试时的接口进行关闭，从而导致这个接口可以查询大量用户信息。

员工信息泄露

弱密码问题

• 内部系统员工密码为弱口令或者默认密码后台
• 管理密码为开发密码比如:admin、test

APP信息泄露

• 隐私信息未做加密直接存放本地。
• 前端信息正常，抓包发现过多信息返回，前后端开发不一致。

我正在参与2024腾讯21天技术创作挑战赛｜年中回顾特别季，年中技术沉淀，拯救你的flag，快来和我瓜分大奖！