文章总结： 这篇文章描述了网络安全研究员Mohaseen如何在对一家印度公司进行例行安全测试时发现了一个严重的数据泄露漏洞。通过自动化侦察脚本，他发现了一个未受保护的日志端点，允许未经身份验证的用户访问包含数千万条支付记录和个人身份信息的日志，时间跨度从2010年到2024年。攻击者只需修改URL中的日期参数即可获取这些敏感数据。作者强调了负责任披露的重要性，并提醒安全研究人员最严重的漏洞往往隐藏在简单的地方，需要耐心、好奇心和注重细节来发现。 综合评分： 89 文章分类： 数据泄露,漏洞分析,WEB安全,实战经验,应急响应

0099.我如何在例行侦察中发现一起大规模数据泄露事件，该事件暴露了数百万用户的信息？

原创

Mohaseen

Rsec

2025年12月17日 09:58 贵州

本文章仅用网络安全研究学习，请勿使用相关技术进行违法犯罪活动。

声明：本文搬运自互联网，如你是原作者，请联系我们！

类型：信息泄露

各位平安！

在本文中，我将分享我在对一家印度公司的应用程序进行安全测试时发现的一个严重安全漏洞的详情。该问题导致大量敏感支付日志和个人身份信息 (PII) 泄露，使得客户数据在互联网上公开可访问。

该漏洞允许未经身份验证的用户访问历史支付记录，从而泄露客户邮箱、电话号码、IP 地址、订单 ID、支付方式、交易状态和支付金额等敏感信息。攻击者只需修改 URL 中的一个参数，即可访问跨越多年的日志，显著扩大了数据泄露的影响范围。

该漏洞之所以格外危险，是因为其利用难度极低。无需身份验证、授权或任何高级攻击技术。只需一个可公开访问的端点，即可泄露多年来积累的敏感客户和支付数据，给用户和组织机构带来严重的隐私、安全和监管风险。

本文将介绍：

• 在例行安全测试中如何发现敏感数据泄露漏洞
• 哪些类型的支付数据和个人身份信息是公开可访问的？
• 攻击者如何以最小的努力访问历史客户日志
• 为什么此类漏洞会导致数据泄露、金融欺诈和违规行为？
• 保护支付系统和敏感后端日志的关键经验教训

让我们深入探讨一下这个漏洞是如何被发现的，以及为什么对敏感数据进行适当的访问控制是不可或缺的。

简要介绍

在深入探讨漏洞细节之前，先简单介绍一下我自己。

我叫 Mohaseen ，是一名网络安全研究员和漏洞赏金猎人， 主要专注于 Web 应用安全、云安全和 Web3 安全。我于 2019 年开始从事道德黑客和漏洞赏金猎人工作，从那时起，我一直在通过实际的安全测试不断学习、实验和提升自己的技能。

多年来，我的研究和漏洞披露为我赢得了多项荣誉，其中包括：

• 4次入选苹果名人堂
• 获得多家全球领先组织的认可
• 行业认证，例如 BSCP、EWPTX、eJPT、CRTA、CCSP-AWS 等

对我而言，网络安全不仅仅是一份职业。我真心喜欢发现那些经常被忽视的安全漏洞，并帮助企业保护敏感系统和用户数据。

了解了这些背景之后，我们接下来看看这个严重的支付数据泄露漏洞是如何被发现的。

Bug——一切是如何开始的

一切都始于一次例行测试。我和朋友一直在开发一个基于自动化的侦察脚本，旨在简化子域名发现、爬取和模糊测试等任务。目标很简单：让流程更快、更高效，并减少人工操作。为了验证脚本，我们决定在 VPS 服务器上针对几个真实目标进行测试。起初一切似乎都很正常，只是又一次对自动化流程进行优化而已。

脚本处理完几个目标后，我开始深入分析输出结果，看看哪些地方可以改进。我没有匆匆浏览结果，而是仔细查看了脚本生成的文件夹。其中一个目录格外引人注目：爬取和模糊测试的输出目录，这里存储着原始的端点发现信息。这简直是一个数据宝库，等待着我去分析。

我开始使用 grep 和其他简单的模式匹配技术扫描结果，筛选出任何不寻常或有趣的内容。大多数端点都是可预测的静态资源、API 路由或无害文件。但随后我看到一个端点，让我停了下来。它不符合常见的模式，我的好奇心战胜了理智。我用 Chrome 打开了它，心想或许会看到错误或通用响应。

我发现的情况完全出乎我的意料：来自第三方支付服务商的支付日志。URL 遵循一种结构化的、基于日期的模式，例如 /payment/<redacted>/logs/day-year.txt 。当我更改 URL 中的日期和年份时，响应会更新为全新的数据。那一刻，我意识到这不仅仅是一个孤立的文件，而是一个庞大系统的一部分，其中隐藏着敏感信息。

我既兴奋又谨慎，继续探索。我在其他模糊测试结果中寻找类似的端点和模式。就在这时，情况急转直下。另一个端点也遵循相同的 /logs/day-year.txt 结构，但这次的内容却至关重要。日志中不再是有限的支付确认信息，而是完整的 API 级交易记录。

数据量惊人。客户姓名、电子邮件地址、电话号码、地理坐标、时间戳以及详细的支付信息全部公开。没有任何身份验证或访问控制，任何知道或猜到 URL 结构的人都可以访问原始数据。更令人震惊的是，通过更改年份参数，我竟然可以访问从 2010 年到 2024 年的所有记录。粗略估计，泄露的记录数量高达 5000 万到 9000 万条，可能在近十年间影响了无数用户。

当时，我冷静下来，冷静思考。情况很严重，但我明白负责任的披露应该包含哪些内容。我仔细记录了发现，创建了详细的概念验证，并将漏洞报告给了公司。几天之内，他们的安全团队就确认了问题，验证了发现，并支付了漏洞赏金。

Press enter or click to view image in full size

教训

回想起来，这一发现让我深刻体会到网络安全领域的一个重要教训：最严重的漏洞并非总是隐藏在复杂的攻击手段背后。有时，只需检查自动化输出、追踪模式，并提出一些基本问题，例如“如果我更改这个会发生什么？”， 就能发现它们。这让我意识到，耐心、好奇心和注重细节往往比任何工具都更有力量。

这次经历不仅提升了我作为安全研究员的技能，也让我深刻体会到负责任的信息披露在现实世界中的重要性。此类发现提醒我们，即使是例行测试也能发现关键漏洞，而谨慎且合乎道德地处理这些发现，能够切实有效地保护用户数据。

希望您喜欢这篇文章！如果您想在漏洞赏金研究或安全项目方面进行合作，欢迎随时联系我。

查看原文：《0099.我如何在例行侦察中发现一起大规模数据泄露事件，该事件暴露了数百万用户的信息？》