今天点外卖前去红包群扫了一遍红包,发现一个 189.cn 的什么鬼活动,点进去,点绑定手机号,刚输入完手机号就跳出了我的名字(第二个字替换成了*)
吓尿了好吗!
开 Burp 抓了一下:
GET /wap/user/info?number=18101xxxxxx HTTP/1.1
Host: m.sh.189.cn
Accept-Encoding: gzip, deflate
Cookie: connect.sid=s%3AZ5acV5CUkvof2pc2Vl9wy2tggEpT23MO.GF9k0qBs9Xbt0YwQhAwxO8PfN0rKERutoZSpULESYsw; pgv_pvi=7534446592; pgv_si=s3856319488
Connection: keep-alive
Proxy-Connection: keep-alive
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 8_1_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12B440 MicroMessenger/6.3.7 NetType/WIFI Language/zh_TW
Referer: http://m.sh.189.cn/wap/bind/home
Accept-Language: zh-tw
X-Requested-With: XMLHttpRequest
返回值是 json :{"status":200,"data":"ä¸****"}( burp 处理编码不太对,保存后打开即可见)
附活动链接: http://app.sh.189.cn/turntable/payfrontback?ORDERSEQ=2015120810783419306424550&ORDERREQTRANSEQ=201512081558204797105154311323&ORDERAMOUNT=1&RETNCODE=0000 (可能要用微信开,大概会检查微信 Cookie ?)
所以这大概也算 feature 不是 bug 么?信息就这么被泄露了不爽啊
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.