【网络安全】学习通某接口滥用危害分析

本文章只为讨论和学习网络安全,禁止用作违法!

前几天无意间发现一个学习通APP一个搜索框,这个框框可以搜索手机号得到用户的真实姓名、头像、学校名称、学习通ID,等信息
抓包之后发现可以对某号段进行穷举,进而爆破出学生的手机号,姓名,学校名称等私人信息
爆破
这个接口如果被某些诈骗、广告等利用了后果可以想象
比如,我需要给某市的大学生群发垃圾、诈骗、钓鱼的短信,我需要先搜集本地的号段:
使用这个网站可以找出号段:http://www.bixinshui.com/city/2
号段
整理以后,写个程序,就可以跑信息了
速度很快,单线程一小时一个号段的话,100线程一个小时就能跑完一个地区,
跑完
对于犯罪分子来说,这个简直就不需要成本,取一个城市的学生信息就这么简单
所以做接口还是要加强防护,防止被滥用!
解决办法:
1、增加延迟,同IP查询需要延迟一秒
2、增加验证码,防止被恶意IP、代理IP进行批量查询
3、接口返回信息减少,只需返回头像和姓名即可

ps:
学习通的程序员是养老机构,漏洞修复慢(对于其他网课平台已经算快的了),但是还是希望我毕业后也能去养个老

我来吐槽

*

*

仅有 1 条评论

  1. 哈哈哈

    6666分析很到位我很喜欢