前言

315晚会可谓是触目惊心,暴漏出各种安全问题。
其中关注度最高的是关于个人信息泄漏的问题。
浏览网站即可获取自己的手机号。
然后各种骚扰电话不胜其烦。

原理

这里的原理其实很简单。
通俗讲:
这里涉及到三方人员。
受害者--信息知道者--第三方
举个例子:
我有一个朋友叫漂亮姐。我知道她的个人信息。
我还有一个朋友叫潇洒哥。
有一天，潇洒哥无意看到了漂亮姐，旁敲侧击问我要漂亮姐的微信号。
这样潇洒哥就知道了漂亮姐的微信号了。

这里的对称:
信息知道者----运营商
受害者---我们自己
第三方---就是借用运营商进行查手机号的网站

因为我们用手机流量时需要经过运营商来进行认证。
这个认证就是需要访问运营商的某个接口。
认证成功后，我们才可以正常上网。
问题来了:
如果我们访问的第三方网站也能调用运营商接口。
那么不就获得了我们的手机号吗。
不就是《浏览网站即可获取我们的手机号》。

接口毕竟不是免费的。找了半天，找到了第三方泄漏的白嫖版接口。进行实现一下。

访问页面如下：
这里直接本机号码一键登录。即可获取当前网络的手机号

当前是使用了公司网络，可以出现登录框界面。
当我切换到移动热点的时候，根本不显示这个登录框，访问这个网站自动就成功登录了。
成功获取我的手机号。熟悉我的朋友，可以看看手机号是不是一样的～～

在正常的的网站请求中，多了一条向运营商进行请求的url。
也就是就行认证获取token 的一个请求。
可以看到成功获取了token。

获取token后，接下来进行运营商的认证过程。
最后成功返回了手机号

小姐姐，可以加个微信吗？

姑娘，可以连一下你的热点吗？

# 信息泄露 # 手机号盗取信息 # 315晚会

本文为独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多