将互联网泄露的信息汇聚成数据库，简单说：黑客数据库。

中国执行信息公开网

全国标准信息公共服务平台

 征信中心

 中国裁判文书网

商务部业务系统统一平台

 全国企业信用信息公示系统

 莆田系黑医院

 社工库网址

邮箱、手机号注册过哪些网站

邮箱是否被泄露

邮箱、用户名、IP地址、HASH值

构建社工库

下载完成以后自己搭建成数据搜索平台

多维角度信息收集 通过app 通过微信公众号 通过目标gg群 通过威助情报 通过网站开发者角度 通过运维角度 通过架构师角度去获得目标相关信息

WEB方面一搜索引擎收录 数据存放未设置访问权限或者防爬处理，造成搜索引擎爬取

WEB方面一转账 一般在转账处输入手机号或邮箱账户的旁边，有一个历史转账信息，点击以后可以看到转账信息，由于加密不全，可以抓包查看真实姓名 转账处逻辑漏洞，越权造成信息泄露

越权一任意查看 平台没有对上传的文件进行复杂格式化处理，例如：xXX.com/xxx/xx/012313.jpg 文件易造成任意读取或者路径爆破

越权一任意修改 用户在进行订单交易时可以将ID修改成任意ID，然后服务器返回可以查看其它用户信息，如：收货地址。

接口-测试接口用户信息泄露 网站在上线的时候，忘记把测试时的接口进行关闭，从而导致这个接口可以查询大量用户信息

员工信息泄露 Github

弱密码问题 “往往简单的越是最有效的“ 内部系统员工密码为弱口令或者默认密码 后台管理密码为开发密码 比如：admin、test

APP信息泄露 隐私信息未做加密直接存放本地 前端信息正常，抓包发现过多信息返回，前后端开发不一致。

免责申明：本章素材均来源于网络，侵权请联系删除。禁止利用本章内容进行任何非法操作，作者对于其造成的后果不负任何责任！