这是一个创建于 2878 天前的主题,其中的信息可能已经有所发展或是发生改变。
声明:这不是故意搞事情,2 个月前就把这个漏洞提交到 360 补天平台,厂商主动忽略。
漏洞是由爱流量短链接导致,可以获取机主名字(除姓氏)、机主其他电信号码、流量历史订单和使用情况。
戳: http://l.sh.189.cn/s/Za8o08
该链接可以按照字符序遍历,打开后直接为登陆状态。如 /s/Za8o08、/s/Za8o09、/s/Za8o0a
ps: 2 年前还有一个获取机主姓氏的接口: https://www.v2ex.com/t/242320
 |
1
lzhd24 2018 年 5 月 24 日
应该是服务器没有做鉴权。是漏洞,既然厂商忽略了,那就大家一起玩😄
|
 |
2
laoyur 2018 年 5 月 24 日
> 这配合支付宝是不是全名就出来了?
厉害了 |
 |
3
liefeng44 2018 年 5 月 29 日
不能用了?
|
Select Language