[公开漏洞]滴滴打车抢红包活动泄露用户手机号

滴滴打车抢红包活动泄露用户手机号 相关厂商： 小桔科技 漏洞作者：Dit 提交时间：2014-07-01 10:46 公开时间：2014-07-06 10:47 漏洞类型：敏感信息泄露 危害等级：中 自评Rank：20 漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞 漏洞来源：http://www.wooyun.org Tags标签： 滴滴打车 漏洞详情 披露状态：

2014-07-01：细节已通知厂商并且等待厂商处理中
2014-07-06：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

泄露用户手机号

详细说明：

在朋友圈点击朋友发的"抢滴滴红包",在红包有效期内可以获取抢红包者的手机号。在设备上设置代理，点击抢红包，查看包含以下URL的json内容http://pay.xiaojukeji.com/activity/hongbao/r_redpacket/r_get_strive_list?listid=

可看到其他也抢红包人的手机号。

漏洞证明：

修复方案：

不输出phone字段。

版权声明：转载请注明来源 Dit@乌云 漏洞回应 厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-07-01 10:46

厂商回复：

最新状态：

暂无