先找到了该直播平台的一个登陆后台

找一个主播，打开看看，把她的url中的ID记住

打开第一个网址，把这个ID粘贴到这里，然后点击后面的忘记密码

先泄露主播的用户名

接下来开启抓包，点击发送验证码

在抓包信息中，就直接泄露了该主播的手机号

总结

在写代码的时候，一定要注意不要在url里面参杂过多的内容，一切要进行传输的内容一定要进行加密，而且加密方式不能是常见的可破解的加密方式。

这里再提一个比较常见的信息泄露漏洞——js数据传输问题

只要有json数据的传输时，多去更改id参数值，去看看有没有什么惊喜，在这里面经常会出现很多莫名其妙的信息，真的是特别莫名其妙的信息。在腾讯、百度知道等大型网站中，也经常出现了这个问题，很多受保护的信息也因为js传输的问题，被泄露了。

文章首发公众号：无心的梦呓(wuxinmengyi)

这是一个记录红队学习、信安笔记，个人成长的公众号

扫码关注即可