Find PII Info Disclosure Bugs With this Simple GUI Tool-Easy P1 から学ぶ

OSINT

ソース:

medium.com

脆弱性:OSINT

 

訳:

私の購読者の 1 人がこのツールを私に教えてくれました。
この GUI ツールを使用すると、雇用主のユーザー名とパスワードを漏らすだけで簡単に報奨金が得られると言い、それを共有するよう求めてきました。
これは世界中のすべてのバグ報奨金ハンターにとって有益になる可能性があるため、ここで私はこう言いました。午前。
このブログでは、シンプルな GUI ツールを使用して PII 情報漏洩のバグを簡単に見つける方法を説明し。 

 

-PII 開示とは何ですか?

の略で PII は、Personal Identifiable Information 、単独で使用するか、他の関連データとともに使用すると、個人を特定できる情報で。

PII には、個人を一意に識別できる直接識別子 (パスポート情報など)、または個人を適切に認識するために他の準識別子 (生年月日など) と組み合わせることができる準識別子 (人種など) が含まれる場合があります。

このCOMBは何ですか?

と呼ばれる、漏洩した資格情報 (電子メール、ユーザー名、パスワード) の最大のデータセット 2021 年 2 月、COMB ( Combination Of Many Breaches ) が一般に漏洩し。 これは史上最大のデータ漏洩であり、 32 億件を超える認証情報 Netflix、LinkedIn、その他多くのサービスによる長年にわたるさまざまなデータ侵害と合わせて が含まれていて。
このツールの目的は、漏洩したユーザー名とパスワードの膨大なデータセットを簡単に検索できるようにすることと、自分の資格情報が漏洩してハッカーにさらされていないかどうかを確認できるようにすることで、セキュリティの向上を促進することで。

このツールの使用方法

このツールには侵害されたデータセットの大規模なコレクションがあり、情報を見つけて組織に報告するために使用できて。
これは完全に GUI ベースのツールで、非常に簡単に使用でき。
他にもさまざまなツールが含まれていて。

実践的に学んでいきましょう!

リンクをクリックして Web サイトを開き。

 

 

ここでターゲットを入力し。
デモの目的で 「 airtel」 ターゲットとして を使用して。
それに応じてターゲットを選択でき。
検索タブにターゲットの前に「@」を付けてターゲットの Web サイトまたは組織を入力し、Enter キーを押し。 (例: @target.com) 

 

 

Tesla.com で試してみましょう

 

 

可能な限り、いくつかの資格情報が表示されて。
このように、ターゲット名を入力するだけで、PII 情報を検索できて。

エスカレーション:

この問題を再度エスカレーションするには、ターゲットの雇用主のログイン ページを取得して、ユーザー名と資格情報を入力してみて。
うまくいけば、それはあなたにとって大当たりで。

このツールのその他の機能

ポートスキャナー

テスターとして、NMAP を使用して IP アドレスで使用可能な開いているポートをスキャンしている場合と同様に、レポートが表示されるまでさらに多くの時間を待つ必要があって。
このツールは、こうした待ち時間を回避するのに役立ち。

 

 

GUI ベースのポート スキャナーがあり、ここで簡単に共有できて。

として Target を選択します。 私は、Acunetix Art (vulnweb.com) のホーム

ウェブサイトの IP アドレスが必要なので、コマンド プロンプトに移動し、testphp.vulweb.com に ping を入力して Enter キーを押し。
IP アドレスのコピーが表示されるので、それをツールの検索バーに貼り付け、ポートに 80,443 を追加し。

 

 

ほんの数秒以内に結果が得られ。

 

 

IPアドレスから場所まで

これは、このツールの私のお気に入りの機能で。
IP アドレスを使用して地理的位置を見つけることができて。
入力として IP アドレスを受け取り、大陸、国、地域、都市、座標をリストし。 1 つ以上の IP アドレスを同時に指定できて。


 

 

ポート スキャナーに使用するテスト Web サイトの IP アドレスを指定し。 

 

 

数秒以内に検索場所を押すと、結果が表示されて。
この IP アドレスに対して、次のように生成され。

 

 

正確ですか?

一部のデータベースは他のデータベースよりも正確であるため、精度は最終的には使用されているデータベースに依存して。
から地理位置情報データを取得し このツールは、MaxMind の GeoLite2 、可能であれば月に 1 回定期的にそのデータを更新します。
正確な精度に関しては、あなたを追跡しようとする人は誰でも、より正確なデータベースにアクセスできるため、あなたの IP アドレスからより正確な位置情報を取得できる可能性があることを常に念頭に置いて。

IP アドレスから正確な物理的な位置を見つけるには、インターネット サービス プロバイダー (ISP) に連絡して、そのような情報を持っているので提供を依頼する必要があり。
ただし、ISP がその情報を警察やその他の当局以外の誰かに渡す可能性はほとんどありません。

 

リンク抽出機能

このツールは、ページ上にあるすべてのリンク (内部および外部の両方) を抽出し。
ブラウザ拡張機能は必要なく、プログラミングは必要なく。
完全にクライアント側でレンダリングする JavaScript を多用する Web サイトでも動作し。
外部リンクへのリンクが多すぎると理論的には「ページランク」が低下するため、Web マスターが検索エンジン用に Web サイトを最適化するときに役立ち。

 

 

検索バーにターゲットを入力し、Enter キーを押し。

 

 

zohoで利用可能なすべてのリンクがリストされて。

場所による IP 範囲の検索

このツールの興味深い機能の 1 つは、現在地に基づいて IP 範囲を見つけることができること。

 

 

ここで、IP 範囲を検索する場所を入力し、[円を描く] をクリックして、検索する円を選択し。

CSV ファイルまたは任意の形式としてエクスポートできる結果が生成され。

 

 

結果:

 

 

ほなほな。