怎樣使用BCard API枚舉注冊與會者

怎樣使用BCard API枚舉注冊與會者，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

BlackHat是世界上最大的網(wǎng)絡(luò)安全活動之一，每年夏天都會在美國拉斯維加斯舉行。那些參加 BlackHat 的人可能已經(jīng)注意到他們的徽章包含 NFC 標(biāo)簽。此 NFC 標(biāo)簽在商務(wù)大廳的展位進(jìn)行掃描，因此供應(yīng)商可以收集他們的營銷數(shù)據(jù)，包括姓名，地址，公司，職位和電話號碼。在 BlackHat 之后，各個供應(yīng)商掃描過徽章的與會者會收到一連串的營銷電子郵件。我最初沒有意識到的一件事是數(shù)據(jù)實際包含在標(biāo)簽內(nèi)部。

在 BlackHat 的培訓(xùn)期間，我對徽章和掛繩在培訓(xùn)中在我的脖子上發(fā)出噪音感到沮喪，所以我將它取下并放在我旁邊的桌子上。后來我將手機(jī)放在上面并看到了通知，以便閱讀 NFC 標(biāo)簽。出于好奇，我下載了一個標(biāo)簽閱讀器應(yīng)用程序，查看了我的標(biāo)簽上存儲的數(shù)據(jù)并做了一些觀察：

在查看上面的數(shù)據(jù)后，我遇到了一些問題：供應(yīng)商如何獲取我的電子郵件地址的？我的所有數(shù)據(jù)都存儲在卡上，只有部分?jǐn)?shù)據(jù)是加密的嗎？是否有可用于提取其余數(shù)據(jù)的 API？幾天后，我決定重新訪問并下載了 BCard APK。我使用 Jadx 工具將 APK 反編譯為 Java 源碼，并開始在輸出中搜索任何潛在的 API 端點。

（1）./jadx-gui ~/Desktop/bcard.apk（2）grep -R "http.*://"

接下來，我做了一些數(shù)學(xué)計算，以確定能夠暴力枚舉所有 BlackHat 與會者的可行性。在 0-100000 和 000000-100000 上嘗試了幾百個請求并且沒有收到有效的徽章后，我確定那些可能不會是有效的 ID 范圍。然后我們可以假設(shè)有效 ID 是 100000-999999。這給我們留下了 900,000 個請求。估計有 18,000 名 BlackHat 與會者，我們可以假設(shè)我們將在大約 2％的請求中枚舉有效的 badgeID。

我們能夠強制改變訪問 API 的速度意味著我們可以在大約 6 個小時內(nèi)成功收集所有 BlackHat 2018 注冊與會者的姓名，電子郵件地址，公司名稱，電話號碼和地址。

在成功證明這個概念之后，我開始了漏洞披露過程。ITN 團(tuán)隊最初很難與他們聯(lián)系，因為他們沒有 security@ 或者 abuse@電子郵件地址，但是一旦我能夠與合適的人聯(lián)系，他們就非常有禮貌，專業(yè)和敏感。此外，他們在初次接觸后的 24 小時內(nèi)解決了此問題。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注億速云行業(yè)資訊頻道，感謝您對億速云的支持。