大家總認(rèn)為網(wǎng)絡(luò)安全就是要在電腦之間來研究,可全球16大黑客中有不少是研究電話通訊網(wǎng)絡(luò)的呢。對于中國固定電話,要身份證,不敢研究(怕警察叔叔找我),于是研究不用身份證的移動電話,所謂“輕松入網(wǎng)輕松打”嘛~
經(jīng)過反復(fù)尋找,我選中了中國移動的神州行,不記名,不消戶,同時也不允許余額為負(fù)值,也不會終止服務(wù)(這點(diǎn)可以利用),真是“功能齊全”~
首先去買個神州行卡,越便宜越好,可能不到100元,但是我只找到100元的。下面找網(wǎng)站,哪個可以用手既繳費(fèi)選哪個。本人舉例選擇了263郵箱,163主頁空間和QQ用戶三個做演示。下面本人就開始帶領(lǐng)大家用100元占盡便宜~
第一步先把卡中的錢花光,給別人打電話,拼命打,就象中國移動動感地帶的廣告一樣,問對方吃飯了沒有,問到他煩,然后換一個,再來,直到一分錢不剩,就可以了(一定不能省,否則可能會失敗。本人有一次剩下不到3分錢,被認(rèn)為余額不足,打了一個電話,之后再去繳費(fèi),就可以了)。
第二步,先看看郵箱,我一直都喜歡大郵箱,穩(wěn)定的,經(jīng)過測試,我認(rèn)為263的還不錯,于是被我選中(263真倒霉~)。來到263主頁(圖1),看看郵箱選項(xiàng),哪個都不好,我們來DIY一個。選擇DIY郵箱,注冊用戶名(圖2),開始選擇吧~宗旨是越貴越好(什么叫顯赫一時???注冊后被發(fā)現(xiàn)而消除用戶名就叫顯赫一時。)瘋狂選擇,最后無奈,最多才42元(圖3),好,就這個啦。然后選定,就開始繳費(fèi)(圖4),填上密碼和手機(jī)號碼(當(dāng)然是那個空卡),確定,然后接收驗(yàn)證串,就可以了。哈哈,簡單吧~
下面來找免費(fèi)空間。網(wǎng)易空間不錯的,有留言本,還有相冊,不會做網(wǎng)站用相冊也不錯。來,我們看看網(wǎng)易有什么服務(wù)。先注冊一個通行證,然后進(jìn)入郵箱,哈哈,馬上有一個廣告(圖5),還等什么???注冊~于是郵箱從25M升級成為33M,同時擁有防毒和病毒短信預(yù)警,真好~工作當(dāng)然不能停止,我們?nèi)ザ绦耪?。先捆綁手機(jī),之后就開始訂短信(圖片鈴聲不能下載,我也不知道為什么……),全部訂閱,反正免費(fèi)(至于為什么訂那么多不要問我,我只是為了免費(fèi)而去,給大家證明可以訂,至于訂多少就隨你的便)。對于收費(fèi)空間問題,現(xiàn)在要聲名以下。以前go.163.com服務(wù)免費(fèi)時,有不少用戶,也是100M,后來系統(tǒng)升級,成為www.nease.net和diy.163.com,有一段時間提供go用戶升級成為nease用戶的功能,但是后來撤消了。當(dāng)時的升級功能中可以使用手機(jī)繳費(fèi),填上手機(jī)號碼,發(fā)送,然后收到驗(yàn)證串,就可以了(本人空間就是這樣得到的,一個月30元,太貴了,于是就去找漏洞,就把手機(jī)支付的漏洞發(fā)現(xiàn)了。雖然現(xiàn)在主頁空間漏洞找不到了,但是卻在別的方面發(fā)揚(yáng)光大了)。后來推銷短信時(叫網(wǎng)易X空間)也有同樣問題(當(dāng)時說只有全球通可以使用,但是實(shí)驗(yàn)證明神州行也可以,于是漏洞被暴露了),但是可惜現(xiàn)在鏈接撤消了,也就不能用了,但是大家可以看看別的專業(yè)主頁空間會不會有問題,在這里舉例只是為了讓大家引起重視,連網(wǎng)易都有這種漏洞……雖然空間不可以申請,但是別的卻可以,比如個人形象和交友(為什么網(wǎng)易商城不能用~~~)。
最后看QQ。騰訊公司并沒有實(shí)力,可我卻喜歡,因?yàn)槁┒磳?shí)在太多太多,幾乎函蓋所有的手機(jī)支付功能(雖然提供的功能不是很多~)。有QQ號碼的各位請不要捆綁,因?yàn)轵v訊只能網(wǎng)絡(luò)捆綁,卻不能網(wǎng)絡(luò)解除捆綁,要解除就要手機(jī)發(fā)短信,為了接觸還要給手機(jī)充值,50元,不值得。另外,使用手機(jī)可以注冊QQ行號碼,為什么不去呢?QQ行比標(biāo)準(zhǔn)QQ高級(雖然不及會員),我們當(dāng)然要。主頁中點(diǎn)擊QQ行頁面,之后選擇手機(jī)注冊(圖6),然后填寫自己的空卡號碼(圖7),注冊,等待驗(yàn)證串,然后驗(yàn)證,哈哈,號碼到手啦~下面干嗎?去QQ秀SHOW一下自己。進(jìn)入QQ秀頁面,隨便買東東,然后付款,選擇手機(jī)支付(圖8),就會從捆綁的手機(jī)中扣費(fèi)(QQ行已經(jīng)將你的手機(jī)自動捆綁在了QQ號碼上)。哈哈,然后看到什么?付費(fèi)成功~(圖9)同時還推薦短信站,因?yàn)轵v訊短信可以使用,下載鈴聲圖片都可以~
漏洞使用完畢了,去買個二手中文手機(jī),安上空卡,當(dāng)短信接收機(jī)用吧~如果認(rèn)為100元中SIM卡的50元花費(fèi)的冤枉(貪心啊~),可以瘋狂下載鈴聲,下載50個,夠了吧~
這個漏洞并不只存在于這3家網(wǎng)站,他危及所有的手機(jī)支付功能,是必須要引起重視的。這個如此可怕的漏洞是什么造成的呢?只有一個無關(guān)緊要的原因:各網(wǎng)絡(luò)運(yùn)營商之間的不合作態(tài)度。
如果使用中國移動通訊的一部手機(jī)向另一部中國移動的無錢的手機(jī)發(fā)送短信,發(fā)送方就會收到信息中心發(fā)送來的對方欠費(fèi)的通知,對方收不到信息。但是使用聯(lián)通的手機(jī)發(fā)送,就不會有中國移動信息中心的反饋報(bào)告,對方收的到信息。同樣,使用網(wǎng)站發(fā)送信息,與中國移動不屬于一個信息中心,于是和聯(lián)通信息中心一樣,不會收到反饋消息,對方也收得到消息。然而網(wǎng)站大多數(shù)都是使用發(fā)送驗(yàn)證串來驗(yàn)證用戶身份,卻剛好落入了這個陷阱中。加上中國移動對神州行的服務(wù)內(nèi)容:不可欠費(fèi),不會消戶,于是如果你這樣使用手機(jī),就會存在一個余額永遠(yuǎn)為零的用戶,不會為負(fù)值,也就是我們永遠(yuǎn)不用交錢,哪天想交時也不必將以前扣的費(fèi)用補(bǔ)上。至于誰損失,肯定不是我們。中國移動和互連網(wǎng)服務(wù)提供者之間的損益差別在于中國移動代收費(fèi)用是按實(shí)際量(直接從用戶中扣錢,拿多少是多少)還是理論量(互連網(wǎng)服務(wù)提供總共收取多少)計(jì)算(不過既然不拿我們的MONEY我們管那么多干嗎?)。解決這個問題也十分簡單,只要定期公布空用戶名單即可,但是這恰恰被當(dāng)作所謂公司和用戶機(jī)密處理,從不公開,結(jié)果導(dǎo)致如此漏洞。
看看,網(wǎng)絡(luò)都一樣,不要以為不用數(shù)字網(wǎng)絡(luò)就沒有漏洞,其實(shí)漏洞無處不在。
至此,此漏洞已經(jīng)大白于天下,大家用上免費(fèi)收費(fèi)服務(wù)了嗎?(什么?沒有手機(jī)?沒有100元?暈~)
