租户混淆大揭秘：我如何意外成为所有公司员工的数字奇遇 🏢🎭

你知道那种走进错误办公室会议的尴尬时刻吗？突然听到竞争对手的秘密项目讨论？没错，上周我就经历了这种情况，只不过我穿梭的是数字租户而非实体办公室，而且我不仅能参加一个错误会议，而是能参加所有会议。这就像Phineas和 Ferb的多维传送器，但针对的是企业数据。🔄

我正在测试"TenantSafe"——一个承诺"铁桶般租户隔离"和"军用级数据分离"的SaaS平台。但实际上他们提供的更像是"透明窗帘"和"温和的数据建议"。🧾

第一幕：可疑设置——“这似乎太简单了” 🤔

经过常规侦察（我已开始将subfinder视为我的数字猎犬），我找到了TenantSafe的API。我注册了两个试用账户来模拟不同公司：

创建账户以阅读完整故事

作者仅向Medium会员开放此故事

如果你是Medium新用户，可创建新账户免费阅读此故事

继续在应用中阅读 或，在移动网页端继续

使用Google注册 | 使用Facebook注册 | 使用邮箱注册已有账户？登录

发布于 InfoSec Write-ups 73K 粉丝 · 最后发布 5天前

来自全球顶尖黑客的技术文章合集，涵盖漏洞赏金、CTF、vulnhub机器、硬件挑战和真实遭遇等主题。订阅我们的周刊获取最酷的信息安全更新：https://weekly.infosecwriteups.com/

作者：Iski 1.93K 粉丝 · 7 关注网络安全研究员 | 渗透测试员 | 漏洞赏金猎人 | Web安全 | 热衷于网络安全、安全自动化

尚无回复撰写回复你有什么想法？取消 | 回复

更多来自 Iski 和 InfoSec Write-ups

在InfoSec Write-ups中 by Iski 《我如何意外成为管理员并差点被炒（从别人的公司）😅》免费链接 🎈 10月17日 👏 110 | 💬 2

在InfoSec Write-ups中
by coffinxp 《我在任何网站上发现漏洞的5分钟工作流程》逐步介绍我最有效的漏洞赏金狩猎快捷方法 9月27日 👏 1.1K | 💬 12

在InfoSec Write-ups中 by SIDDHANT SHUKLA 《一键完成漏洞赏金的所有基础侦察》一键完成所有侦察工作 10月9日 👏 605 | 💬 5

在InfoSec Write-ups中 by Iski 《我如何让ChatGPT成为我的个人黑客助手（并突破了他们的"AI驱动"安全）🤖💥》免费链接 🎈 10月31日 👏 64 | 💬

查看Iski的所有内容 | 查看InfoSec Write-ups的所有内容

Medium推荐内容

在InfoSec Write-ups中 by 127.0.0.1 《Web缓存欺骗攻击——当今Web应用中的隐藏威胁》小配置错误付出代价！！！ 10月30日 👏 5

在Be nice insabat中《我在bugcrowd私有漏洞赏金项目中如何发现账户接管漏洞》 email@gmáil.com.burpcolab.com 穆斯林兄弟们Assalam o alaikum，非穆斯林朋友们大家好，希望你们都一切安好… 10月30日 👏 81 | 💬 34

在osp3l中《测试聊天机器人实例中的XSS》这里有个测试聊天机器人实例中XSS的小技巧：当你注入XSS payload作为用户消息但未执行时，不要… 4天前 👏 22 | 💬 1

在Israel Aráoz Severiche中《黑客攻击API：JSON负载验证不足》 API是现代应用的支柱。从移动应用到SaaS平台，API以规模连接服务和用户。但许多REST… 9月30日 👏 7

在Abhishek meena中《SSRF—第3部分：高级技巧、时序通道和开箱即用检测 🚀》副标题：漏洞赏金猎人的秘密武器卷——防御优先、高信号技术，将可疑SSRF迹象转化为… 10月27日 👏 17 | 💬 1

在Mr. Plan ₿ Publication中 by Aman Sharma 《10,000美元的GitLab漏洞：参数混淆如何暴露内部文件》在研究企业应用安全时，我遇到了研究员Will (vakzz)的一个有趣案例，展示了细微… 10月27日 👏 71

查看更多推荐

帮助 | 状态 | 关于 | 职业 | 媒体 | 博客 | 隐私 | 规则 | 条款 | 文本转语音