SRC经验分享-BP历史流量找到的信息泄露

一、小程序抓包

在家呆了两个月，很久没有去实战了，为了保证自己不会变废，最近复习了以前自己的实战和朋友给的案例，顺便给大家分享分享。

打开某小程序，微信授权登陆，全程开启BP代理（不拦截），登陆之后暂时不身份认证。

二、替换BP历史流量

在BP的HTTP历史流量里随便找一个包Ctrl+R放入重放器中，已知之前在某小程序上发现某接口泄漏用户身份信息，将下方请求URL替换掉第三步随意抓取的请求URL。

/association-api/api/common/associator/getUserInfoAndMemberInfo?userId=342002F919874EFF9B731DF7C6C6BA93

三、替换userid

将获取到的userid替换到刚刚发现的能够获取用户信息的请求中，可以发现该处返回了用户的敏感信息：姓名、手机号、身份正号、认证方式教职工等。

四、举一反三扩大危害

点击小程序的其他功能进行互动

点击进入后，分析BP历史流量，可以发现在图中的请求接口中，有返回用户的userId信息，将userId填入到泄漏敏感信息的接口，可以看到能够查询到大量的用户敏感信息：姓名、手机号、家庭地址、身份正等。

回到这个泄漏userid的接口，将该请求Ctrl+R放置重载器中，通过调节limit字段为100，可以查看响应包，能够返回100份数据，可想而知如果将其改为20000，那么至少可以将所有的的敏感信息都能获取。

总结

很多小伙伴会经常忽略Burpsuit的历史流量，其实里面会有很多惊喜，有些网站会跳转，查看Burpsuit历史流量会发现跳转的网站地址和流量包，总之今后记得关注BP的HTTP流量，会有很多意想不到的惊喜。