记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

福建联通某接口设计缺陷可查询全省联通号码信息

2015-01-11 01:50

福建联通微信公众号:fjunicom

关注后要求绑定手机号

测试号码:15606060606

屏幕快照 2014-11-26 下午10.25.53.png



选择:使用短信验证码绑定

然后抓包可以看到/bind/customerbind!sendSms.action 这个请求。

看看Response:

code 区域
HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

Date: Wed, 26 Nov 2014 14:25:55 GMT

Content-Length: 30



{"code":"0000","msg":"053703"}



直接返回了验证码

成功绑定,可查询客户业务信息

IMG_2216.PNG



IMG_2217.PNG











漏洞证明:

WeChat_1417012807.jpeg



WeChat_1417012810.jpeg



WeChat_1417012811.jpeg

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2015-084861

阅读:154430 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“福建联通某接口设计缺陷可查询全省联通号码信息”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词