声明:这不是故意搞事情,2 个月前就把这个漏洞提交到 360 补天平台,厂商主动忽略。
漏洞是由爱流量短链接导致,可以获取机主名字(除姓氏)、机主其他电信号码、流量历史订单和使用情况。
戳: http://l.sh.189.cn/s/Za8o08
该链接可以按照字符序遍历,打开后直接为登陆状态。如 /s/Za8o08、/s/Za8o09、/s/Za8o0a
ps: 2 年前还有一个获取机主姓氏的接口: https://www.v2ex.com/t/242320
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.