豌豆荚某处员工安全漏洞可造成内部敏感信息泄露
豌豆荚以前的漏洞 拿到一份豌豆荚的列表公司邮箱 其它常用邮箱(选填)
现在多数搞技术的都喜欢云存储 比如印象笔记 百度云盘恩 来看这个https://app.yinxiang.com/Registration.action
会做判断 判断邮箱是否注册根据返回值 我们就可以判断邮箱是否存在burp fuzz下随便列举一个存在的
fengjie199003@gmail.com
然后就选定他 直接查询泄露 fengjie199003@gmail.com得到密码:
mask 区域
*****03@gma*****
*****5fj*****
登陆印象笔记 百度盘
mask 区域
*****oujia-o*****
*****jia(we&#*****
**********
*****�:wd*****
**********
*****密码:W*****
**********
*****密�*****
*****uji*****
*****39;*****
**********
*****�的��*****
*****wand*****
*****ndouji*****
**********
*****码*****
*****in*****
*****ia.c*****
**********
**********
*****�密�*****
*****gj*****
*****#KYAh8*****
**********
**********
*****etin*****
*****ia@meet*****
**********
**********
*****DgzOTQyNzhl*****
*****D: 1*****
等等...
漏洞修补建议:赶紧修补漏洞