移动手机支付认证码漏洞背后的料

Wooyun的那个漏洞http://www.wooyun.org/bugs/wooyun-2011-02254

是10086支付网站的安全漏洞,导致我可以登录任意移动手机号的支付账号,虽然不能支付。关键在于,登录web网站后,这里有个链接,可以直接免登录到139邮箱,查收并发送139邮箱的邮件。

图中的“139邮箱:【尚有 7 封 未读邮件】”。

我本来问yunshu(http://icylife.net/yunshu/)要“某大牛”的手机号来着。。。嘿嘿嘿。你们一定懂我在说谁邮箱,不解释。

被yunshu以“小心警察叔叔抓”为由义正言辞拒绝了,我表示深感钦佩,多少0day在招手啊。

再往前爆点,原本给幻影投稿文章《浅谈wap网站安全》

http://www.inbreak.net/archives/171

投稿前,先往那个139邮箱发了封钓sid的邮件,在我自己的139邮箱里,手机访问邮箱exp成功,可惜大牛不用手机访问。那次是真没有,这次却是可以有。

无线这边,有很多精彩,你们为什么不去研究研究呢?

发表评论?

5 条评论。

  1. 也许是用wap的还是比较少吧。

  2. 中国的洞洞真的恐怖,刷钻-到邮箱 @_@

  3. 这个漏洞真雷…还是逻辑上的失误- –

  4. 越看你的博客,越觉得wap不安全,我去啊,现在爪机处理了好多事情

发表评论