前几天无意间发现一个某通APP一个搜索框,这个框框可以搜索手机号得到用户的真实姓名、头像、学校名称、用户ID,等信息
抓包之后发现可以对某号段进行穷举,进而爆破出学生的手机号,姓名,学校名称等私人信息
![图片[1]-Analysis of Abusing a Particular API for Harmful Purposes -](https://www.77169.net/wp-content/uploads/2020/08/649689120.png)
这个接口如果被某些诈骗、广告等利用了后果可以想象
比如,我需要给某市的大学生群发垃圾、诈骗、钓鱼的短信,我需要先搜集本地的号段:
使用某查找号段网站即可查出号段 ![图片[2]-Analysis of Abusing a Particular API for Harmful Purposes -](https://www.77169.net/wp-content/uploads/2020/08/787667813.png)
整理以后,写个程序,就可以跑信息了
速度很快,单线程一小时一个号段的话,100线程一个小时就能跑完一个地区,。![图片[3]-Analysis of Abusing a Particular API for Harmful Purposes -](https://www.77169.net/wp-content/uploads/2020/08/2452825735.png)
对于犯罪分子来说,这个简直就不需要成本,取一个城市的大学生信息就这么简单
所以做接口还是要加强防护,防止被滥用!
解决办法:
1、增加延迟,同IP查询需要延迟一秒
2、增加验证码,防止被恶意IP、代理IP进行批量查询
3、接口返回信息减少,只需返回头像和姓名即可
ps:
某通的程序员是养老机构,漏洞修复慢(对于其他网课平台已经算快的了),但是还是希望我毕业后也能去养个老
end.
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容