介绍
某天在某hub上发现了个清华的APP项目。
pull下来发现是一个校园相关功能的APP。
运行
先跑起来项目
登录
通过注释代码校验跳过登录
APP接口
校园相关内容接口
校外相关服务接口
接口渗透
接口代理
校外接口部分
校外服务是一个送水服务调用的类似第三方接口
随意输入几个参数后获取到一条数据。发现返回接口有id参数,再输入一次返回,发现id是自增id。
随后通过nodejs脚本请求,过滤出有效数据保存到txt文件中。
通过微信添加好友搜索。发现能搜到,是正式数据。
至此手机号就泄露了。
校园接口部分
调用的清华webVPN去登录,获取内网各类服务
登录 跟银行卡密码类似 错误次数有限制
这就比较无解了 需要学号+密码。
题外话
一般常见的操作
批量收集手机号
批量匹配手机号
发短信钓鱼网站获取 账号 密码 验证码 骗骗比较傻的
例如:
结尾
(未添加任何人,未发送垃圾短信等信息)
(仅作交流展示,相关数据已删除)
(仅以此篇文章展示数据安全的重要性)
