这是一个创建于 3267 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天点外卖前去红包群扫了一遍红包,发现一个 189.cn 的什么鬼活动,点进去,点绑定手机号,刚输入完手机号就跳出了我的名字(第二个字替换成了*)
吓尿了好吗!
开 Burp 抓了一下:
GET /wap/user/info?number=18101xxxxxx HTTP/1.1
Host: m.sh.189.cn
Accept-Encoding: gzip, deflate
Cookie: connect.sid=s%3AZ5acV5CUkvof2pc2Vl9wy2tggEpT23MO.GF9k0qBs9Xbt0YwQhAwxO8PfN0rKERutoZSpULESYsw; pgv_pvi=7534446592; pgv_si=s3856319488
Connection: keep-alive
Proxy-Connection: keep-alive
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 8_1_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12B440 MicroMessenger/6.3.7 NetType/WIFI Language/zh_TW
Referer: http://m.sh.189.cn/wap/bind/home
Accept-Language: zh-tw
X-Requested-With: XMLHttpRequest
返回值是 json :{"status":200,"data":"ä¸****"}( burp 处理编码不太对,保存后打开即可见)
附活动链接: http://app.sh.189.cn/turntable/payfrontback?ORDERSEQ=2015120810783419306424550&ORDERREQTRANSEQ=201512081558204797105154311323&ORDERAMOUNT=1&RETNCODE=0000 (可能要用微信开,大概会检查微信 Cookie ?)
所以这大概也算 feature 不是 bug 么?信息就这么被泄露了不爽啊
5 条回复 • 2015-12-09 19:07:19 +08:00
 |
1
ihciah OP (求帮修复下格式 233333
|
 |
2
GeekTest 2015-12-09 18:09:40 +08:00 via Android
山东电信还有获取欠费余额的 API 虽然没啥卵用
|
 |
3
ProjectAmber 2015-12-09 18:15:36 +08:00 via iPhone  1
这配合支付宝是不是全名就出来了?
|
 |
4
v1024 2015-12-09 18:56:04 +08:00 via iPhone
哈哈哈,补充个笑话:实名制,强制的。
|
 |
5
yexm0 2015-12-09 19:07:19 +08:00
实名制挺方便的
|
Select Language