这是一个创建于 2708 天前的主题,其中的信息可能已经有所发展或是发生改变。
声明:这不是故意搞事情,2 个月前就把这个漏洞提交到 360 补天平台,厂商主动忽略。
漏洞是由爱流量短链接导致,可以获取机主名字(除姓氏)、机主其他电信号码、流量历史订单和使用情况。
戳: http://l.sh.189.cn/s/Za8o08
该链接可以按照字符序遍历,打开后直接为登陆状态。如 /s/Za8o08、/s/Za8o09、/s/Za8o0a
ps: 2 年前还有一个获取机主姓氏的接口: t/242320
 | 1 lzhd24 2018-05-24 14:07:22 +08:00 应该是服务器没有做鉴权。是漏洞,既然厂商忽略了,那就大家一起玩 |
 | 2 laoyur 2018-05-24 14:08:10 +08:00 > 这配合支付宝是不是全名就出来了? 厉害了 |
 | 3 liefeng44 2018-05-29 08:57:18 +08:00 不能用了? |
Select Language