挖个洞先
https://mp.weixin.qq.com/s/8o9V_2mAZX-YgYG3bjwPQw
“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”
01
—
漏洞证明
1、文档内容为账号密码,设置阅读密码为123456
2、此时文档内容不可见,提示需要阅读密码解锁
3、F12删除class属性isHidden
<div class="detail isHidden"></div
删除isHidden
<div class="detail"></div>
4、文档内容可见
02
—
漏洞危害
“ 付费加密文档需要19.9加群获取密码,通过漏洞可直接查看内容 ”
1、隐私泄露:通过简单地修改网页元素属性就能查看受密码保护的文档内容,导致用户的个人信息(如账号和密码)面临被未授权查看的风险。这种隐私泄露可能给用户造成直接的个人和财务损失。
2、安全性受损:这种漏洞表明系统的安全性措施不充分,依赖于客户端控制来保护敏感信息,而不是在服务器端实施更稳固的安全策略。不恰当的安全控制可能导致更大范围的安全威胁,如未经授权访问更多受保护的数据。
3、信誉受损和法律风险:如果用户发现他们的敏感数据可以这么轻易地被访问,那么平台的信誉将受到严重损害。信誉下降会导致用户流失,潜在的新用户也会因为安全担忧而不愿意加入。此外,漏洞可能导致违反数据保护法规,进而可能面临法律诉讼和罚款。