漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0112729
漏洞标题:四川某移动可查全省任意移动手机号业务信息
相关厂商:中国移动
漏洞作者: 路人甲
提交时间:2015-05-07 21:41
修复时间:2015-06-26 09:56
公开时间:2015-06-26 09:56
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:18
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-07: 细节已通知厂商并且等待厂商处理中
2015-05-12: 厂商已经确认,细节仅向厂商公开
2015-05-22: 细节向核心白帽子及相关领域专家公开
2015-06-01: 细节向普通白帽子公开
2015-06-11: 细节向实习白帽子公开
2015-06-26: 细节向公众公开
简要描述:
某天,某人微信收到移动公司发来的消息提示可在微信实时自己手机号的话费余额、使用流量、剩余流量、已定业务的功能,这敢情好啊。咱试试去?结果。。。
详细说明:
1、使用微信搜索【凉山移动】公众号,并关注它
点击【移动便利店】-【话费流量查询】
2、提示没绑定,那咱就去绑定
输入手机号码,点击确定,直接提示送我100M流量!真好~~
3、停!咱是来查流量的,回到主题,点击话费流量查询,
果真能查询话费和流量信息!真强大,不对啊,我只输入了
我的手机号,没输入我的密码,咋能查询我的信息呢?咱得
研究研究,于是获取链接地址,WIFI太快了,手速不快,这
时候2G又发挥作用了,
顺利获得查询页面地址。切换回电脑,原来这个查询页面只绑定了
用户的微信ID,也没对手机号码进行校验,那直接修改微信号,填入别人手机号,
岂不可以随便查询?实践出真知,咱来试试
网速不给力,有点卡,图片都加载不出~~ -_-!!
居然成功了。。。再换,再查!
【【【原来真是任意手机号都能查哦~~】】】
漏洞证明:
1、使用此链接打开页面,并在页面输入四川移动全省任意移动号码
,记得改useid后面的微信号哦~~
http://yd.lmego.net/bind.aspx?userid=oJZJ112233445566778899001122&areaid=5
2、使用此链接即可查询别人信息~~微信号用上面修改过的。
http://yd.lmego.net/bind.aspx?userid=oJZJ112233445566778899001122&areaid=5
附送两个查询链接
http://yd.lmego.net/MobilePackage.aspx?UserId=oJZJCuFqKNtouXvwgDigaSJpPBuQ
http://yd.lmego.net/MobilePackage.aspx?userid=oJZJ112233445566778899001122
修复方案:
呃。。。别的懂,至少得增加手机校验吧,直接使用微信号。。这未免也太草率了吧。
不过移动的大爷们有更好的办法吧?
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-05-12 09:55
厂商回复:
CNVD未直接复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理单位处置.
最新状态:
暂无