联通查话费 API

2021-10-04 23:31:35 +08:00
 lzhw

转自吾爱。不知道联通不做鉴权直接开放给公网随意查询是否合适。

python:

import requests
import json
# 联通手机号码
phone = "xxxxxxxxxxx"
url = "https://weixin.10010js.com/app/charge/qryRealFee"
headers = {
    "Host": "weixin.10010js.com",
    "Content-Type": "application/json",
    "Cache-Control": "no-cache",
    "Content-Length": "23",
    "Accept": "*/*",
    "Referer": "https://weixin.10010js.com/actPage/activity/index28.html?",
    "Accept-Language": "zh-cn",
    "User-Agent": "Mozilla/5.0 (Linux; U; Android 8.1.0; zh-cn; BLA-AL00 Build/HUAWEIBLA-AL00) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/8.9 Mobile Safari/537.36"
}
data = {
    "phone": phone
}
req = requests.post(url, json.dumps(data), headers=headers)
money = int(req.text)/100
print(money)

php:

<?php
$url="https://weixin.10010js.com/app/charge/qryRealFee";
$data='{"phone":'.'"'.$_GET["phone"].'"}';
echo "您的帐户余额是:<font color=red size=30>".(curl_post($url,$data)/100)."</font>元人民币";
   function curl_post($url,$data){
     $headers = array(
    "Host:weixin.10010js.com",
    "Content-Type:application/json",
    "Cache-Control:no-cache",
    "Content-Length:23",
    "Accept:*/*",
    "Referer:https://weixin.10010js.com/actPage/activity/index28.html?",
    "Accept-Language:zh-cn",
    "User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36"
);
       $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);         
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);    
        curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
        curl_setopt($ch, CURLOPT_POST, 1);
        curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
        $output = curl_exec($ch);
        curl_close($ch);
        return $output;
    }        
?>

有人做好现成的,可以直接试试:

调用地址: http://api.dooper.top:8899/api/liantong/?nub=
请求方式:GET
返回类型:JSON
请求示例: http://api.dooper.top:8899/api/liantong/?nub=13288888888
9762 次点击
所在节点    信息安全
43 条回复
Les1ie
2021-10-05 00:12:14 +08:00
试了下,确实可以直接查到准确的话费余额。
话费余额没有过于敏感的信息,在已知有查话费的 API 的前提下,我更担心有没有类似的可以查身份、姓名、地址等敏感信息的 API,这个 api 不大可能只有这一个业务。
chanssl
2021-10-05 00:25:11 +08:00
示例号码 80 万话费,擦。。。
phithon
2021-10-05 00:50:47 +08:00
这个锅谁来背一下
hs0000t
2021-10-05 00:52:53 +08:00
@Les1ie 要是真能爆出来这样的 API,先把那个示例号码查一查,满足下好奇心
Tilie
2021-10-05 00:55:00 +08:00
联通 app 补卡的时候 输入补办号码后 身份证信息是前端验证的(疑似)
terence4444
2021-10-05 01:14:19 +08:00
话费也不能公开查啊,很容易伪造成话费不足的钓鱼信息。
skiy
2021-10-05 01:49:50 +08:00
应该是微信的 API,被抓了。
coolcoffee
2021-10-05 08:01:50 +08:00
2022 年都快来了,居然还见到了只有 http,不支持 https 的接口。
sutking
2021-10-05 08:44:38 +08:00
@coolcoffee #8 国企啊!太正常了吧,我相信不止联通公司一架,一定还有!
Eytoyes
2021-10-05 09:09:00 +08:00
18666666666 里面有 4 万多余额
gengchun
2021-10-05 09:22:58 +08:00
@coolcoffee 那个不是联通的。
sprite82
2021-10-05 10:09:33 +08:00
@coolcoffee
@sutking
两位,看清楚啊,http 是别人封装的
PMR
2021-10-05 10:33:05 +08:00
@skiy

主办单位:中国联合网络通信有限公司江苏省分公司
vinle
2021-10-05 10:57:56 +08:00
试了下,其中三个 header 还是必须要有的,所以还是有做少量校验的,你们要求还是太高了。(
```
PHO=13233233233 \
&& RET=$(curl \
-H "Referer:https://weixin.10010js.com/actPage/activity/index28.html?" \
-H "Content-Length:23" \
-H "Content-Type:application/json" \
--data "{\"phone\":\"$PHO\"}" \
"https://weixin.10010js.com/app/charge/qryRealFee" \
-s) && sed -e "s/\(.*\)\(..\)/\1.\2/" <<< $RET | xargs printf "%s" && printf "\x1b[31mRMB\x1b[0m\n"
```
binghezhouke
2021-10-05 11:09:08 +08:00
印象中有一些充值服务的地儿只要输入了手机号就会显示余额,估计是类似接口
alanhe421
2021-10-05 11:14:48 +08:00
配合 surge 做个 shortcut,方便多了
CloudnuY
2021-10-05 12:00:53 +08:00
之前联通话费接口还能查到姓的首字母➕名字最后一个字呢
fenranaab
2021-10-05 12:09:28 +08:00
太正常了,联通的业务大部分都是外包出去的,这个只是把话费余额泄露了,前不久连联通最核心的三户信息都暴露出来了。
opengps
2021-10-05 12:31:48 +08:00
依然有些涉及暴露隐私,比如先便利一圈,看看那些号是有人用的,然后发 ad 短信或者营销等等。当年生日管家骚扰的接口被我扫了一下,总结出来的风险用途
MeteorCat
2021-10-05 13:16:05 +08:00
先持续关注下,后续没问题就自己做没有话费提示接口

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/805901

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX