学*通某接口滥用危害分析
前几天无意间发现一个某通APP一个搜索框,这个框框可以搜索手机号得到用户的真实姓名、头像、学校名称、用户ID,等信息
抓包之后发现可以对某号段进行穷举,进而爆破出学生的手机号,姓名,学校名称等私人信息
这个接口如果被某些诈骗、广告等利用了后果可以想象
比如,我需要给某市的大学生群发垃圾、诈骗、钓鱼的短信,我需要先搜集本地的号段:
使用某查找号段网站即可查出号段 整理以后,写个程序,就可以跑信息了
速度很快,单线程一小时一个号段的话,100线程一个小时就能跑完一个地区,。
对于犯罪分子来说,这个简直就不需要成本,取一个城市的大学生信息就这么简单
所以做接口还是要加强防护,防止被滥用!
解决办法:
1、增加延迟,同IP查询需要延迟一秒
2、增加验证码,防止被恶意IP、代理IP进行批量查询
3、接口返回信息减少,只需返回头像和姓名即可
ps:
某通的程序员是养老机构,漏洞修复慢(对于其他网课平台已经算快的了),但是还是希望我毕业后也能去养个老
end.
贡献者 一个热衷于折腾的人
1篇文章
4.14K总阅读量
