银联钱包出的薅羊毛活动，直接暴露手机号啊

2018 年 2 月 7 日

b821025551b

这是我在微博上随便找的一个大 V 的分享链接
https://wallet.95516.com/s/wl/webV2/activity/springFestival/invite/html/shareIndex.html?r=MTMzMzI4MzA0MTM%3D&channel=1

r 参数 base64 一下，emmmmm。
银联这货是不是直接把手机号做了主键呀；
再细想想，微博上爬一爬，手机号和微博对应上，就可以来个定向爆破了；
而且，分享渠道不限于微博。

13919 次点击

所在节点

全球工单系统

74 条回复

ae86

2018 年 2 月 7 日

轰炸机已就绪，over~

azhi

2018 年 2 月 7 日

这波确实 6

Weny

2018 年 2 月 7 日

其实银联是我们自己人狗仔队就绪 hhhh

49degree

2018 年 2 月 7 日

测试了一下，还真是的。。。

Applenice

2018 年 2 月 7 日

。。。试了一下。。。还真是。。。

admos

2018 年 2 月 7 日

看着像后端不愿意做丢给前端做的

sunber

2018 年 2 月 7 日

666 辛亏没分享

guojxx

2018 年 2 月 7 日

这个是啥 base64 哪个参数啊！！

echowxsy

2018 年 2 月 7 日

@guojxx r=

zjsxwc

2018 年 2 月 7 日

解出来的手机号只有 9 位啊，剩下的 2 位手机没有？

Applenice

2018 年 2 月 7 日

@zjsxwc #10 你咋解的，我解出来就是 11 位。。。

guojxx

2018 年 2 月 7 日

@echowxsy 那这个解出来了有什么用么

rasy

2018 年 2 月 7 日

@zjsxwc 11 位呀

nongmei

2018 年 2 月 7 日

旁边的小伙子一脸不高兴的说：可惜志玲姐姐没分享

swolf119

2018 年 2 月 7 日

@zjsxwc 我猜你少复制了最后的等号

AAAAAAAAAAAAAAAA

2018 年 2 月 7 日

http://tool.oschina.net/encrypt?type=3 这个地址，直接解就行，没问题

AV1

2018 年 2 月 7 日

直接用浏览器 JS 就解了
atob(decodeURIComponent('MTMzMzI4MzA0MTM%3D'))

@guojxx 拿到手机号了，还不知道有何用么？

Applenice

2018 年 2 月 7 日

@DOLLOR #17 同意，手机号都拿到了。。。能做的太多了

Herry001

2018 年 2 月 7 日

还好没参加这个活动（

hcymk2

2018 年 2 月 7 日

之前有个银联钱包出的薅羊毛活动专楼的，有人说了这个问题后，应该炸了。

第 1 页／共 4 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://v2ex.xtra.eu.org/t/429099

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.