文章总结： 本文记录了一个通过审计前端JS文件发现的信息泄露漏洞案例。作者在assets目录下的JS文件中定位到一个未经身份验证即可访问的JSON文件，其中包含真实用户的敏感PII数据。文章分析了漏洞成因在于缺乏权限校验，并对比了正常请求与攻击请求的差异。建议测试人员对JS文件进行全面审计以提取敏感接口，文末附带知识星球推广信息。 综合评分： 70 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验,SRC活动

通过js发现的一个信息泄露漏洞

原创

who? who?

迪哥讲事

2026年2月26日 11:00 四川

正文

这个漏洞是在assets这个文件下面的js里面发现的，这个文件很常见，但是有时候js里面会有一些接口泄露了敏感信息

这里是一个未认证的 JSON 文件 getAccountAndUserData.json，该文件包含混合的测试和真实用户的个人身份信息 (PII)。由于没有身份验证限制，任何人都可以访问这个文件，导致数据泄露的风险,这里注意一下,这里的json文件是在某个js文件里面发现的:

https://redacted.redacted.com/assets/redacted/someFolder/api-stuff/getAccountAndUserData.json

正常请求：在正常情况下，只有经过认证的用户才能通过 API 获取用户数据。例如，一个合法的请求可能包含认证的 Cookie 或者特定的 Header，API 在接收到合法请求后返回该用户的数据。

POST /redacted/redacted/redacted/getUser_QueryList HTTP/2
Host: redacted.redacted.com
Cookie: session=valid_session_id;

[
  {
    "user_id": "authorized_user_id"
  }
]

受到攻击后的请求：如果 API 没有严格的身份验证控制(这是主要原因)，攻击者可以通过伪造请求获取不属于自己的数据。攻击者无需认证信息，可能通过如下请求来尝试获取敏感信息。

POST /redacted/redacted/redacted/getUser_QueryList HTTP/2
Host: redacted.redacted.com

[
  {
    "user_id": "target_user_id"
  }
]

这个漏洞看起来很简单，但其实在实际场景中需要我们对所有js进行操作，提取其中的所有敏感信息

然后再依次尝试，其实有时候工作量不小

如果你是一个长期主义者，欢迎加入我的知识星球，本星球日日更新,包含号主大量一线实战,全网独一无二，微信识别二维码付费即可加入，如不满意，72 小时内可在 App 内无条件自助退款

往期回顾

#

如何利用ai辅助挖漏洞

#

如何在移动端抓包-下

#

如何绕过签名校验

#

一款bp神器

挖掘有回显ssrf的隐藏payload

ssrf绕过新思路

一个辅助测试ssrf的工具

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips‍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事 who? who?《通过js发现的一个信息泄露漏洞》