V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ihciah
V2EX  ›  互联网

上海电信获取任意手机号机主姓氏 API

  •  
  •   ihciah · 2015-12-09 17:57:18 +08:00 · 4096 次点击
    这是一个创建于 3276 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天点外卖前去红包群扫了一遍红包,发现一个 189.cn 的什么鬼活动,点进去,点绑定手机号,刚输入完手机号就跳出了我的名字(第二个字替换成了*
    吓尿了好吗!
    开 Burp 抓了一下:

    GET /wap/user/info?number=18101xxxxxx HTTP/1.1
    Host: m.sh.189.cn
    Accept-Encoding: gzip, deflate
    Cookie: connect.sid=s%3AZ5acV5CUkvof2pc2Vl9wy2tggEpT23MO.GF9k0qBs9Xbt0YwQhAwxO8PfN0rKERutoZSpULESYsw; pgv_pvi=7534446592; pgv_si=s3856319488
    Connection: keep-alive
    Proxy-Connection: keep-alive
    Accept: application/json, text/javascript, */*; q=0.01
    User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 8_1_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12B440 MicroMessenger/6.3.7 NetType/WIFI Language/zh_TW
    Referer: http://m.sh.189.cn/wap/bind/home
    Accept-Language: zh-tw
    X-Requested-With: XMLHttpRequest

    返回值是 json :{"status":200,"data":"上****"}( burp 处理编码不太对,保存后打开即可见)

    附活动链接: http://app.sh.189.cn/turntable/payfrontback?ORDERSEQ=2015120810783419306424550&ORDERREQTRANSEQ=201512081558204797105154311323&ORDERAMOUNT=1&RETNCODE=0000 (可能要用微信开,大概会检查微信 Cookie ?)

    所以这大概也算 feature 不是 bug 么?信息就这么被泄露了不爽啊

    5 条回复    2015-12-09 19:07:19 +08:00
    ihciah
        1
    ihciah  
    OP
       2015-12-09 17:57:41 +08:00
    (求帮修复下格式 233333
    GeekTest
        2
    GeekTest  
       2015-12-09 18:09:40 +08:00 via Android
    山东电信还有获取欠费余额的 API 虽然没啥卵用
    ProjectAmber
        3
    ProjectAmber  
       2015-12-09 18:15:36 +08:00 via iPhone   ❤️ 1
    这配合支付宝是不是全名就出来了?
    v1024
        4
    v1024  
       2015-12-09 18:56:04 +08:00 via iPhone
    哈哈哈,补充个笑话:实名制,强制的。
    yexm0
        5
    yexm0  
       2015-12-09 19:07:19 +08:00
    实名制挺方便的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3370 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 11:42 · PVG 19:42 · LAX 03:42 · JFK 06:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.