WooYun.org

事情发生在我换了手机号N久以后，发现自己信用卡有几万积分，看到同事都换各种帐篷啥的，就去试试看，结果发现，绑定信用卡的时候，悲剧发生了，只认默认的之前开户的手机号。
然后就去后台尝试，看看能不能修改手机信息。发现不允许修改，WEB端不允许修改手机号，只能去柜台，可惜的是这附近的交通银行太远了。我也没时间去折腾这个鸟事。
于是就想着看看是否能在WEB端修改。
由于是我大中华的银行，那么肯定是不能用火狐谷歌的，修改也是个问题。试了试F12，IE的调试工具也还凑合，这时候就发现奇葩的事情了。既然你不允许在WEB端修改手机号，干嘛要在页面中加入隐藏的域来保存手机号，提交的时候这个信息还有提交。
拿出fiddler，F12后，在提交的时候截断了。

修改了mobileNo后面的字段，然后就提交成功了。
手机马上就收到了。那个修改个人资料成功的提示。
手机号华丽丽的就修改为现在的了。
比较悲剧的是，第一次的时候，没有在意就是测试，然后悲剧就发生了，各种字段可能因为编码问题，乱码，我直接给提交了。然后个人资料里面全是乱码了。
fiddler你让我失望了。
回头修改了一次，发现自己的名字被改成乱码了。联系地址和电话还能去修改。这个算是没辙了。无法修改。放图一张，不知道能不能刷卡以后。

无奈之下就继续fiddler修改抓包，发现不行，不知道什么缘故，无法修改成功，可能是编码我写的中文字符不对。
我跟好基友 tennc 说他说让打电话找客服，懒得打了，就研究了下，这个字段既然也是隐藏域，我去，直接F12在IE下修改了下。就OK了。
这里可以看到，这种个人客户资料里面原本不应该被修改的内容，手机号，及个人姓名，居然都可以在截断的时候修改掉，既然你不允许修改，那么干嘛要弄个隐藏域，最终还可以提交，还会updata？