引言

McHire 是一个聊天机器人招聘平台，被 90% 的麦当劳特许经营店使用。求职者会与一个名叫 Olivia 的机器人对话，这个机器人由名为 Paradox.ai 的公司开发，用于收集他们的个人信息、工作班次偏好，并进行性格测试。我们是在 Reddit 上看到一些用户抱怨该机器人 回答毫无逻辑 后注意到这一点的。

在进行了几个小时的初步安全审查后，我们发现了两个严重问题：McHire 为餐厅业主提供的管理界面接受默认凭据 123456:123456，以及一个内部 API 上存在不安全的直接对象引用（IDOR）漏洞，使我们可以访问任意联系人和聊天记录。这两个问题结合在一起，使我们以及任何拥有 McHire 账号并能访问任何收件箱的人，都可以获取超过 6400 万名求职者的个人数据。

求职申请

我们首先尝试在当地的麦当劳申请一份工作。McHire 在 https://jobs.mchire.com/ 上有一个面向消费者的网站，可以轻松查找附近的招聘信息。我们立即被引导到 Olivia，那位帮助我们填写邮箱、电话号码以及可工作班次的机器人，并立刻进入了下一阶段：性格测试！

McHire 性格测试

这项性格测试是由 Traitify.com 提供支持的，我们被要求判断诸如“喜欢加班”这样的句子是否符合自己，选项为 Me（是我） 或 Not Me（不是我）。对于倾向雇主利益的问题，我们大概应该选择 Me，对于暗示好争辩或具有攻击性的问题则选 Not Me，虽然不难猜，但整个过程仍然显得相当怪异。

不幸的是，完成这一步后我们就陷入了停滞，似乎在等待人工审核。我们尝试对 Olivia 聊天机器人进行提示注入（prompt injection），这很导致审核不通过，但看起来它被锁定在一组预设回应中，或者采用了类似的机制，且并没有为求职者开放什么有趣的 API。

登录

我们注意到餐厅业主可以通过 https://www.mchire.com/signin 登录以查看应聘者。尽管该应用强制要求使用麦当劳的单点登录（SSO），但其中有一个较小的链接写着“Paradox 团队成员”，引起了我们的注意。

我们几乎没怎么思考，就输入了“123456”作为用户名，“123456”作为密码，结果惊讶地发现我们竟然直接登录成功了！

McHire 用户管理界面

结果发现，我们变成了 McHire 系统中一个测试餐厅的管理员。我们可以看到该餐厅的所有“员工”实际上都是 McHire 背后的公司 Paradox.ai 的员工。这对我们来说是个好消息，因为我们现在可以看到这个应用是如何运作的，但同时也有些令人失望，因为我们还没有证明任何实际的信息保密性或完整性受到影响。

申请我们的职位

我们决定申请该账户已经创建的一个测试岗位，看看在“另一端”会是什么样子。餐厅可以查看与 “Olivia” 进行中的所有对话，并在应聘者进入特定阶段（如完成性格测试）时进行人工干预。

餐厅视角下的我们的求职对话

在查看我们的测试对话时，我们注意到了一个有趣的 API，用于获取求职者信息：PUT /api/lead/cem-xhr，这似乎是通过 XHR 请求代理到某种客户或求职者体验管理器（CEM）。该请求的主要参数是聊天的 lead_id，我们测试申请者的 ID 大约是 64,185,742。我们尝试将这个数字递减，结果立刻就看到了另一位麦当劳求职者的个人身份信息（包括未脱敏的联系方式）！

我们很快意识到，这个 API 允许我们访问所有曾在麦当劳申请过工作的聊天记录。返回的信息包括：

• • 姓名、电子邮件地址、电话号码、住址
• • 求职状态以及求职者提交的所有状态变更和表单内容（例如可工作的班次等）
• • 用于登录用户端界面的身份验证令牌，泄露了他们的原始聊天记录，可能还包括其他信息

在结束渗透后，我们立即上报了漏洞。

如何系统学习网络安全？

网络安全作为数字时代的核心技术基石，已成为保障各行业安全稳定运行的坚实屏障。筑牢网络安全的防线，掌握先进的防护策略和技能正上升为国家与企业发展的战略优先级。

构建稳固的网络安全能力是一个体系的工程，需要从夯实基础理论出发，持续深化到攻防对抗与应急响应的实战层面。

如果你是准备学习网络安全（黑客）或者正在学习，这里给你准备了腾讯大佬内部分享的资料，你应该能用得上：

①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

一、网络安全（黑客）学习路线

网络安全（黑客）学习路线，形成网络安全领域所有的知识点汇总，它的用处就在于，你可以按照上面的知识点去找对应的学习资源，保证自己学得较为全面。

二、网络安全教程视频

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

三、网络安全CTF实战案例

光学理论是没用的，要学会跟着一起敲，要动手实操，才能将自己的所学运用到实际当中去，这里带来的是CTF&SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

四、网络安全面试题

最后，我们所有的作为都是为就业服务的，所以关键的临门一脚就是咱们的面试题内容，所以面试题板块是咱们不可或缺的部分，这里我给大家准备的就是我在面试期间准备的资料。

网安其实不难，难的是坚持和相信自己，我的经验是既然已经选定网安你就要相信它，相信它能成为你日后进阶的高效渠道，这样自己才会更有信念去学习，才能在碰到困难的时候坚持下去。

机会属于有准备的人，这是一个实力的时代。人和人之间的差距不在于智商，而在于如何利用业余时间，只要你想学习，什么时候开始都不晚，不要担心这担心那，你只需努力，剩下的交给时间！

这份完整版的网络安全学习资料已经上传CSDN，朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】