首页 > 安全 > 网站安全 >

36kr圈子创业者及投资人联系信息泄露及修复

2013-11-30

通过搜索遍历获取36kr圈子创业者及投资人邮箱等信息。1 圈子里提交一个项目,然后可选择团队成员和投资人;通过搜索可获取所有成员邮箱地址。2 通过抓包发现该搜索接口并未进行权限限制,无需登录即可获取成员及

通过搜索遍历获取36kr圈子创业者及投资人邮箱等信息。
1.圈子里提交一个项目,然后可选择团队成员和投资人;通过搜索可获取所有成员邮箱地址。
2.通过抓包发现该搜索接口并未进行权限限制,无需登录即可获取成员及投资人联系信息。
http://www.36kr.net/search/ajax_autoCompleteUserName?q= (q参数为用户名可以为任意字符如0-9 a-z ~-),可通过程序进行遍历)
效果如下:

username字段中文名可以使用Unicode进行解码。
修复方案:
验证权限。。
相关文章
最新文章
热点推荐