银联钱包出的薅羊毛活动,直接暴露手机号啊

2018-02-07 10:02:10 +08:00
 b821025551b
这是我在微博上随便找的一个大 V 的分享链接
https://wallet.95516.com/s/wl/webV2/activity/springFestival/invite/html/shareIndex.html?r=MTMzMzI4MzA0MTM%3D&channel=1

r 参数 base64 一下,emmmmm。
银联这货是不是直接把手机号做了主键呀;
再细想想,微博上爬一爬,手机号和微博对应上,就可以来个定向爆破了;
而且,分享渠道不限于微博。
12408 次点击
所在节点    全球工单系统
74 条回复
ae86
2018-02-07 10:09:11 +08:00
轰炸机已就绪,over~
azhi
2018-02-07 10:11:05 +08:00
这波确实 6
Weny
2018-02-07 10:12:47 +08:00
其实银联是我们自己人 狗仔队就绪 hhhh
49degree
2018-02-07 10:15:42 +08:00
测试了一下,还真是的。。。
Applenice
2018-02-07 10:22:43 +08:00
。。。试了一下。。。还真是。。。
admos
2018-02-07 10:23:00 +08:00
看着像后端不愿意做丢给前端做的
sunber
2018-02-07 10:30:49 +08:00
666 辛亏没分享
guojxx
2018-02-07 10:32:09 +08:00
这个是啥 base64 哪个参数啊!!
echowxsy
2018-02-07 10:34:25 +08:00
@guojxx r=
zjsxwc
2018-02-07 10:35:18 +08:00
解出来的手机号只有 9 位啊,剩下的 2 位手机没有?
Applenice
2018-02-07 10:37:27 +08:00
@zjsxwc #10 你咋解的,我解出来就是 11 位。。。
guojxx
2018-02-07 10:39:10 +08:00
@echowxsy 那这个解出来了 有什么用么
rasy
2018-02-07 10:39:23 +08:00
@zjsxwc 11 位呀
nongmei
2018-02-07 10:44:26 +08:00
旁边的小伙子一脸不高兴的说:可惜志玲姐姐没分享
swolf119
2018-02-07 10:44:31 +08:00
@zjsxwc 我猜你少复制了最后的等号
AAAAAAAAAAAAAAAA
2018-02-07 10:45:30 +08:00
http://tool.oschina.net/encrypt?type=3 这个地址,直接解就行,没问题
DOLLOR
2018-02-07 10:47:47 +08:00
直接用浏览器 JS 就解了
atob(decodeURIComponent('MTMzMzI4MzA0MTM%3D'))

@guojxx 拿到手机号了,还不知道有何用么?
Applenice
2018-02-07 10:49:04 +08:00
@DOLLOR #17 同意,手机号都拿到了。。。能做的太多了
Herry001
2018-02-07 10:53:46 +08:00
还好没参加这个活动(
hcymk2
2018-02-07 10:54:06 +08:00
之前有个银联钱包出的薅羊毛活动专楼的,有人说了这个问题后,应该炸了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/429099

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX