声明:这不是故意搞事情,2 个月前就把这个漏洞提交到 360 补天平台,厂商主动忽略。
漏洞是由爱流量短链接导致,可以获取机主名字(除姓氏)、机主其他电信号码、流量历史订单和使用情况。
戳: http://l.sh.189.cn/s/Za8o08
该链接可以按照字符序遍历,打开后直接为登陆状态。如 /s/Za8o08、/s/Za8o09、/s/Za8o0a
ps: 2 年前还有一个获取机主姓氏的接口: https://www.v2ex.com/t/242320
1
lzhd24 2018-05-24 14:07:22 +08:00
应该是服务器没有做鉴权。是漏洞,既然厂商忽略了,那就大家一起玩😄
|
2
laoyur 2018-05-24 14:08:10 +08:00
> 这配合支付宝是不是全名就出来了?
厉害了 |
3
liefeng44 2018-05-29 08:57:18 +08:00
不能用了?
|