文章总结： 该文档记录了一次渗透测试项目，攻击者通过未授权访问绕过登录界面进入系统，利用导出功能发现四个未授权漏洞，导致累计超过30万条敏感信息泄露，包含身份证号、手机号、银行账户等数据。关键发现包括时间参数可控的数据导出接口和直接查询暴露机制。可操作建议强调在未授权访问前端页面时应全面测试各功能点。 综合评分： 78 文章分类： 渗透测试,漏洞分析,WEB安全,数据泄露,安全工具

【渗透项目】一次未授权导致的30w+信息泄露

原创

观止安全 观止安全

观止安全

2026年5月9日 12:55 安徽

在小说阅读器读本章

去阅读

联系方式

vx：gzaqSec888

免责声明：本公众号所发的内容仅供学习用途使用，由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责！如有侵权，烦请告知，我们会立即删除！观止安全拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

PART.01

渗透流程

进入系统发现是一处登录口，进行一些简单弱口令尝试未果

后面尝试使用插件vuecrak

（具体使用在我工具分享模块有介绍）

随意点击接口尝试

成功进入系统里面，账户显示admin，但是没有信息

后面的话也是找了很多接口，都是一样的没有信息，接着就想着点点按钮尝试，发现导出按钮有数据，并且下载时间还挺长

第一个未授权：

点击导出按钮

最后导出信息，发现有6w+条信息，手机号，姓名，身份证等信息泄露

接着就是重新从头开始找按钮了，遇到了都点一下功能点

第二个未授权：

这里也一样的操作，泄露姓名，手机号，开户行等信息，还有票据单的照片地址

第三个未授权：

这个和前面的有点区别就是时间可控，但是只能导出三个月的数据

通过测试，他在23年才有数据

下载到了26年1.1到26年4.1，从23年开始，共计3年3个月，大概计算有4.6w+信息

第四个未授权：

这个未授权也是时间可控，和上面的区别是不用下载，点查询即可，不过要加上时间，所以第一次尝试的时候才没东西

通过数据包调试时间，发现20W+信息

PART.02

小结

在未授权进入前端页面时，可以尝试多点点功能点测试，可能其中某个功能点就未授权操作！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：观止安全 观止安全 观止安全《【渗透项目】一次未授权导致的30w+信息泄露》