最近315晚会可谓是触目惊心,暴漏出各种安全问题。
其中关注度最高的是关于个人信息泄漏的问题。
浏览网站即可获取自己的手机号。
然后各种骚扰电话不胜其烦。
1
原理
这里的原理其实很简单。
通俗讲:
这里涉及到三方人员。
受害者--信息知道者--第三方
举个例子:
我有一个朋友叫漂亮姐。我知道她的个人信息。
我还有一个朋友叫潇洒哥。
有一天,潇洒哥无意看到了漂亮姐,旁敲侧击问我要漂亮姐的微信号。
这样潇洒哥就知道了漂亮姐的微信号了。
2
现实
这里的对称:
信息知道者----运营商
受害者---我们自己
第三方---就是借用运营商进行查手机号的网站
3
原因
因为我们用手机流量时需要经过运营商来进行认证。
这个认证就是需要访问运营商的某个接口。
认证成功后,我们才可以正常上网。
问题来了:
如果我们访问的第三方网站也能调用运营商接口。
那么不就获得了我们的手机号吗。
不就是《浏览网站即可获取我们的手机号》。
4
如图
接口毕竟不是免费的。
找了半天,找到了第三方泄漏的白嫖版接口。进行实现一下。
访问页面如下:
这里直接本机号码一键登录。即可获取当前网络的手机号。
当前是使用了公司网络,可以出现登录框界面。
当我切换到移动热点的时候,根本不显示这个登录框,
访问这个网站自动就用自己的手机号成功登录了!!!!
成功获取我的手机号。熟悉我的朋友,可以看看手机号是不是一样的~~
1
数据包分析
在正常的的网站请求中,多了一条向运营商进行请求的url。
也就是进行认证获取token 的一个请求。
可以看到成功获取了token。
获取token后,接下来进行运营商的认证过程。
最后成功返回了手机号。
2
彩蛋
以前搭讪:
小姐姐,可以加个微信吗?
现在搭讪:
姑娘,可以连一下你的热点吗?😎😎😎
关于交流群:因为某些原因,更改一下交流群的获取方式
-
后台回复发送 "交流群",即可获取交流群二维码。
-
如若上述方式不行,请点击联系我们->联系官方添加二维码拉群 。
本公众号文章以技术分享学习为目的。
由于传播、利用本公众号发布文章而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任。
一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
原文始发于微信公众号(极梦C):震惊!浏览网站即可获取手机号
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论