将互联网泄露的信息汇聚成数据库,简单说:黑客数据库。
中国执行信息公开网
http://zxgk.court.gov.cn/?dt_dapp=1全国标准信息公共服务平台
http://std.samr.gov.cn/征信中心
https://ipcrs.pbccrc.org.cn/中国裁判文书网
https://wenshu.court.gov.cn/商务部业务系统统一平台
http://www.mofcom.gov.cn/mofcom/typt.shtml全国企业信用信息公示系统
http://www.gsxt.gov.cn/index.html莆田系黑医院
https://putianxi.github.io/index.html社工库网址
https://www.reg007.com邮箱、手机号注册过哪些网站
https://haveibeenpwned.com邮箱是否被泄露
https://snusbase.com/search邮箱、用户名、IP地址、HASH值
http://163.donothackme.club/http://s.70sec.com/http://2017.findmima.com/https://qq.findmima.com/http://cha.hx99.net/http://sgk.70sec.com/index.phphttps://www.shuju666.com/Home/Profile构建社工库
https://raidforums.com/Announcement-Database-Index-CLICK-ME下载完成以后自己搭建成数据搜索平台
多维角度信息收集
通过app
通过微信公众号
通过目标gg群
通过威助情报
通过网站开发者角度
通过运维角度
通过架构师角度去获得目标相关信息
WEB方面一搜索引擎收录
数据存放未设置访问权限或者防爬处理,造成搜索引擎爬取
WEB方面一转账
一般在转账处输入手机号或邮箱账户的旁边,有一个历史转账信息,点击以后可以看到转账信息,由于加密不全,可以抓包查看真实姓名
转账处逻辑漏洞,越权造成信息泄露
越权一任意查看
平台没有对上传的文件进行复杂格式化处理,例如:xXX.com/xxx/xx/012313.jpg
文件易造成任意读取或者路径爆破
越权一任意修改
用户在进行订单交易时可以将ID修改成任意ID,然后服务器返回可以查看其它用户信息,如:收货地址。
接口-测试接口用户信息泄露
网站在上线的时候,忘记把测试时的接口进行关闭,从而导致这个接口可以查询大量用户信息
员工信息泄露
Github
弱密码问题
“往往简单的越是最有效的“
内部系统员工密码为弱口令或者默认密码
后台管理密码为开发密码
比如:admin、test
APP信息泄露
隐私信息未做加密直接存放本地
前端信息正常,抓包发现过多信息返回,前后端开发不一致。
免责申明:本章素材均来源于网络,侵权请联系删除。禁止利用本章内容进行任何非法操作,作者对于其造成的后果不负任何责任!
