文章总结： 作者在GitHub公开仓库发现硬编码的JiraAPIToken，实测仍有效，可绕过OAuth直接读取内部issue、项目及人员信息，暴露横向泄露风险；指出凭证明文存放、BasicAuth仍被接受、权限过宽三大漏洞，提醒企业及时清理公开代码中的敏感数据并收紧Token权限。 综合评分： 82 文章分类： 数据泄露,漏洞分析,安全意识,WEB安全,安全建设

敏感信息泄露

原创

h1

迪哥讲事

2026年1月15日 09:01 四川

敏感信息泄露

正文

在 GitHub 上浏览代码仓库时，发现了一个仓库。 在搜索敏感关键词时，发现了一个 Kotlin 文件，其中硬编码了Jira的APIToken 。

虽然这个仓库已经很久没更新了，但我还是尝试使用这个 Token 调用 Jira API。

结果非常惊讶：API请求成功了 ，我可以直接访问 Jira 的 issue 数据， 而在正常情况下，访问这个 Jira 域名应该会被强制跳转到Atlassian的OAuth登录页面 。

企业开发人员把 Jira API Token 明文写进了公开 GitHub 仓库， 而这个 Token 仍然有效，导致任何人都能绕过登录，直接访问内部 Jira 系统。

🔴 漏洞点 1：敏感凭证被硬编码并公开

const val token = “██████”

🔴 漏洞点 2：Basic Auth 仍被 Jira 接受

请求头中：

Authorization: Basic ████████

这实际上是：

Base64(username:APIToken)

~

说明：

Jira REST API 信任这个Token

不需要浏览器登录

不需要 OAuth 跳转

👉 攻击者绕过了Web登录层

漏洞点 3：权限范围过大（高危）

成功访问的接口是：

GET /rest/api/2/issue/67212

这意味着：

Token 至少有：

read:jira-work

可能还有用户、项目、评论权限

可以枚举：

所有 issue

项目结构

内部人员信息

👉 这是“横向信息泄露”

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

#

如何利用ai辅助挖漏洞

#

如何在移动端抓包-下

#

如何绕过签名校验

#

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

参考

https://hackerone.com/reports/1785145

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事 h1《敏感信息泄露》