WooYun.org

以下问题都是通过手机端进行正常访问然后抓包，重发攻击测试的。
1.查看任意用户信息。
在登陆成功后发现一个获得自己所有信息的数据包，经过精简自断后格式如下：

经测试填入任意用户id后可获得用户信息。在广场上随便找了一个用户测试如下：

2.查看任意用户vip信息。
过程如上步，使用中截取并精简如下数据包：

填入任意用户获得VIP信息，测试如下：
目标id：50aef9e97f34942d0c00000d
vip信息如下

{"s_account":"78","vip_expire":"15-10-15","has_order":"0","is_vip":"1","vip_number":"184936","state":"1"}

3.获得任意用户联系列表
这个问题相对比较严重，可以获得人以用户的联系人列表，更可怕的是竟然还能得到每个人的地理位置信息(经纬度！！)
方法如上，但是这一步必须使用有效的token才可以，所以测试时使用的我的id和token，获得别人的列表，数据包如下：

仍然以广场上的目标id：50aef9e97f34942d0c00000d为测试目标

这样就得到了他所有的联系人，注意图中标出的部分，经纬度信息。。。。
4.伪造任意人进行消息发送。
我使用自己的id与微拍官方账号进行消息发送，获取数据包后进行分析精简，得到如下数据包，注意这里同样需要header信息。

测试使用官方账号给自己发送消息得到正确返回值并受到消息
这个是官方id

4e626f71677c27fc24000000

{"from_userid":"4e626f71677c27fc24000000","to_userid":"5524d10ba5640b0c7d8b4592","pm_id":"5524d8c3250622f2648b456b","pm_time":"1428478147","pm_content":"\u6211\u62cd\u4e8c","pm_type":"0","state":"1"}

下图是“我俩”开心的”对话“

你可能会想，这几个问题有啥意思，不就是偷窥下别人的信息么。
错！把这几个结合起来就能够发广告啊钓鱼啊。举个例子，批量爬去用户id，然后自动获得用户的联系人列表，再然后伪造发件人对所有好友发送广告或者是钓鱼，效果肯定好。
ps:在测试发送消息的时候给官方账号发了很多测试消息，直接引来客服“哥哥不要刷屏哦”。。。。不好意思。。。。没搞破坏，只是为了赚rank 进树莓派