Member-only story
如何在私密漏洞赏金计划的常规测试中发现IP欺骗漏洞
Be nice
insabat 著
3分钟阅读·2025年9月2日
发现过程
在一次标准的安全评估中,我发现了一个严重漏洞,该漏洞可导致IP欺骗与地理位置信息泄露。以下是整个发现过程:
第1步:目标识别
作为标准侦察流程的一部分,我将该API端点添加至Burp Suite的作用域中。目标是一个处理地理位置数据的云服务。
第2步:被动扫描
利用Burp Suite的爬虫功能,我对应用程序进行了初步扫描。爬虫自动发现了多个API端点,其中包括:
GET /v1.1/utility/geo/search HTTP/2
Host: api.serviceprovider.com
第3步:初步分析
(原文内容至此结束,后续分析步骤未在提供的文章中体现) CSD0tFqvECLokhw9aBeRqtcL1ENczmt9RGJprIZlqnlF5OkB8PrPXsxx4+N7i+e3YH2MjcYEBx/CCETMtfOW6SMAOQnhOfH1+rwEcB7G8+PpqAMshi7AqEAs9HBf+lkZbbeSt66nkMuOwYSV/ro0WRowRDdCYjOzM8Axdb+kKSLIMFZ50QITMbGX6yjWu3FS6zUVG+aY8QePsyhTubdV3Q==
