V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ihciah
V2EX  ›  信息安全

上海电信获取机主名字漏洞

  •  
  •   ihciah · 2018-05-24 13:37:59 +08:00 · 3464 次点击
    这是一个创建于 2377 天前的主题,其中的信息可能已经有所发展或是发生改变。

    声明:这不是故意搞事情,2 个月前就把这个漏洞提交到 360 补天平台,厂商主动忽略。

    漏洞是由爱流量短链接导致,可以获取机主名字(除姓氏)、机主其他电信号码、流量历史订单和使用情况。

    戳: http://l.sh.189.cn/s/Za8o08

    该链接可以按照字符序遍历,打开后直接为登陆状态。如 /s/Za8o08、/s/Za8o09、/s/Za8o0a

    ps: 2 年前还有一个获取机主姓氏的接口: https://www.v2ex.com/t/242320

    4 条回复    2018-05-29 19:08:02 +08:00
    lzhd24
        1
    lzhd24  
       2018-05-24 14:07:22 +08:00
    应该是服务器没有做鉴权。是漏洞,既然厂商忽略了,那就大家一起玩😄
    laoyur
        2
    laoyur  
       2018-05-24 14:08:10 +08:00
    > 这配合支付宝是不是全名就出来了?
    厉害了
    liefeng44
        3
    liefeng44  
       2018-05-29 08:57:18 +08:00
    不能用了?
    ihciah
        4
    ihciah  
    OP
       2018-05-29 19:08:02 +08:00
    @liefeng44 好像是的。
    果然对一些企业来说,让它修 bug 最好的办法就是把漏洞曝光出来,提交并没有卵用。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2350 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:09 · PVG 00:09 · LAX 08:09 · JFK 11:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.