电竞下注-中国电竞赛事及体育赛事平台

新聞
當(dāng)前位置:新聞 > 熱點(diǎn)新聞 > 正文

點(diǎn)餐、辦卡、訂酒店…我的個人信息怎么就被泄露了(4)

2024-12-23 01:00:17 來源:央視新聞 A+A-

測試場景2:運(yùn)動健身購買月卡

測試結(jié)果:專家僅僅使用最基礎(chǔ)的解碼程序,就順利通過了該小程序數(shù)據(jù)接口的用戶身份校驗(yàn),毫無阻攔地就拿到了完整且未加密的用戶信息。這其中包括身高、體重、職業(yè)、生日等敏感信息。

測試場景3:生活服務(wù)

測試結(jié)果:這家企業(yè)的小程序接口存在一個非常明顯的漏洞:當(dāng)消費(fèi)者查詢的訂單號為空的時候,該接口就會返回數(shù)據(jù)庫中所有訂單的信息,這幾乎讓程序平臺里的整個用戶信息都存在極大的泄露風(fēng)險。敏感信息包括手機(jī)號、姓名和居住地址。

測試場景4:酒店訂房

測試結(jié)果:這個小程序的接口雖然做了一定的加密措施,但是由于生成的訂單號非常有規(guī)律,專業(yè)人員可以根據(jù)規(guī)律構(gòu)造查詢指令,也可以很輕易地查看到指定日期的所有訂單信息。

測試場景5:醫(yī)療信息

測試結(jié)果:該醫(yī)院的小程序也屬于查詢接口授權(quán)機(jī)制不完善。查詢所有患者的化驗(yàn)報告應(yīng)該要管理員權(quán)限才能訪問,但是通過這個接口,用普通賬號也能查詢,醫(yī)院的小程序在權(quán)限等級識別上根本就沒有設(shè)置任何障礙。

(責(zé)任編輯:1417)

推薦閱讀

24小時熱點(diǎn)