作者
標題 [情報] 扭蛋忘記電話協助查詢
時間 Sat Dec 30 16:27:16 2023
標題 [情報] 扭蛋忘記電話協助查詢
時間 Sat Dec 30 16:27:16 2023
17:38再更新
相信音樂真的有駐版人員,相關個資封包全部被修掉了
不過你們又把舊的後門打開了XD
如果找不到電話號碼的板友可以趁現在快查
再次修掉之後估計就沒辦法了
========================================================
17:07更新
這個洞被修掉了,大家可以回家了
如果確定自己的電話是正確的但是查詢不到,請在你的電話後面加上%20試試看
因為這支報名程式在撈資料庫的時候不會把空白去除
若你當初報名有誤按空格的話就會必須輸入%20才能查詢到
供各位參考
相音人員如果有看到這篇的話,希望你們在query的時候不要把不必要的data拉進來
我甚至能看到信用卡號前六碼加上後四碼+一堆我的報名個資
另外在比對user的手機的時候也trim一下吧,太多人都是因為空格而查詢不到
禮拜六工程師還駐板加班辛苦了
=========================================================
剛剛看到臉書及ptt有許多人無法查詢扭蛋紀錄
本人剛好是資訊相關科系,職業病犯了
爬了一下扭蛋頁面的運作方式,發現有後門沒關可以查到電話
因此寫了一個陽春的網站協助大家查詢,網址如下:
https://imbiganna.github.io/mayday.html
介面非常陽春,只需要選日期及訂單編號即可查到電話號碼
再透過查到的電話號碼至相信音樂網站查詢即可
本站不會搜集各位的任何資料,相關程式碼也開源於下方Github Repo中
https://github.com/imbiganna/imbiganna.github.io
GitHub - imbiganna/imbiganna.github.io
![[圖]]()
Contribute to imbiganna/imbiganna.github.io development by creating an account on GitHub. ...
希望能幫助各位版友找回屬於自己的扭蛋
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.232.81.51 (臺灣)
※ 作者: a29174332 2023-12-30 16:27:16
※ 文章代碼(AID): #1bZzHcRI (MayDay)
※ 文章網址: https://www.ptt.cc/bbs/MayDay/M.1703924838.A.6D2.html
推 : 欸不是OAO 加上電話欄位不就是為了避免被有心人士亂按兌換嘛OAO 結果是可以被查出來的嘛OAAAAAAO1F 12/30 16:30
沒錯,相信音樂的門只關了一半,而且也完全沒公告,資安角度看瞎到不行※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 16:31:28
推 : 我剛剛也看了一下 直接call api就可以 資安到底在幹嘛3F 12/30 16:33
正解,而且query出來的不只是電話而已,剩下的就不多說了,只能說這個網站完全沒有任何資安可言
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 16:36:10
推 : 多事之秋演唱會在即,所以扭蛋之亂2.0我本不想再罵,但相信音樂真的是(怒怒怒!
這公司擁有人類平均智商的到底有幾個?4F 12/30 16:38
這公司擁有人類平均智商的到底有幾個?4F 12/30 16:38
推 : 我看到json了...細思極恐所有資料都可以query到欸7F 12/30 16:40
推 : 太搞笑了,該慶幸自己沒有參戰嗎8F 12/30 16:41
推 : 好唷~所以有心人要撈到所有資料,個資就外洩了?9F 12/30 16:43
→ : 你相信音樂TMD快改啊!糙!10F 12/30 16:44
推 : 居然! 相信音樂有在保護歌迷資料嗎? 太扯了吧!11F 12/30 16:44
其實這個洞還是需要有正確的日期+訂單編號兩者同時匹配上才能夠找出來因此除非暴力解或是運氣很好剛好猜到,否則還是不會找到電話號碼的
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 16:46:02
推 : 這個個資外洩……12F 12/30 16:45
→ : 剛剛另篇看有人推文擔心螢光棒app安全不用,我還想說應該不會吧,沒想到相信音樂真的不能讓人信任欸13F 12/30 16:45
螢光棒App倒是不用擔心,就是BLE協定而已,沒什麼個資問題,可以放心推 : 我看懂原理了== 在SearchResult的網頁相因自己就這樣15F 12/30 16:46
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 16:47:15推 : 呼~原PO解釋完,我安心多了~16F 12/30 16:48
推 : 這操作好猛...17F 12/30 16:56
推 : 現在查不到了,"userPhone" is required。18F 12/30 16:59
推 : 好 修掉惹
但他回傳的json還是包了全部的資料 扯==19F 12/30 16:59
大家可以回家了,相信音樂修掉了,看來相音還是有駐板人員在XD但他回傳的json還是包了全部的資料 扯==19F 12/30 16:59
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:02:32
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:12:10
推 : 上了一堂資安,哈哈21F 12/30 17:19
推 : 和朋友的4連號現在有3張查不到,相音提供的手機後3碼也不是我們原本登記的電話,現在也等不到回信(無奈22F 12/30 17:20
推 : 欸現在我怎麼都查不到…… 網站有修好嗎?24F 12/30 17:29
推 : 樓上看要不要再寄信給客服並提供手機請他們回撥,說可以提供刷卡資訊給他們驗證訂單本人25F 12/30 17:29
![[圖]](https://i.imgur.com/MK8eEoEh.jpg)
推 : 相信音樂真的讓人無法相信,跟取名一樣,缺什麼名字就叫什麼!!29F 12/30 17:36
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:40:28推 : 可是我進去查還是有電話欄位,而且還是查無,怎麼這樣31F 12/30 17:41
K大趁現在漏洞又開,先用我的網站趕快找回自己的扭蛋吧※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:42:10
推 : 我也還是要電話
查了就顯示Network error33F 12/30 17:41
查了就顯示Network error33F 12/30 17:41
推 : 我的也還要電話,而且跟l大出現一樣的訊息(我原本輸入電話訂單都正常)這麼多天了這系統還沒處理好...35F 12/30 17:44
推 : 我用A大的網址查,居然出現未報名,可是登記隔天2筆訂單都有查到成功和扣款37F 12/30 17:46
推 : 看來這扭蛋之亂沒完沒了...39F 12/30 17:47
推 : 那個網站資料比對不到都是顯示未報名,但不一定真的沒報名。40F 12/30 17:47
推 : 還是一樣啊!打了正確的電話還出現五迷知道了42F 12/30 17:47
K大你不介意的話可以站內我日期+訂單編號,我幫你試試看※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:49:23
推 : 感謝原Po大大 已經查到電話了
但那個網站還是顯示 Network error 超鳥……
我的情況同樓上Karen大 打了正確資訊還是error哈43F 12/30 17:55
現在會Network Error超正常,因為相音工程師把正確API URL指去localhost了但那個網站還是顯示 Network error 超鳥……
我的情況同樓上Karen大 打了正確資訊還是error哈43F 12/30 17:55
我現在懷疑工程師是不是當大學生專題在做了...
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 17:59:42
推 : 應該是緊急改程式,上版沒改好,localhost也太妙。46F 12/30 18:07
有好好寫測試的話根本不該發生這種低級錯誤,在正式環境發布成localhost真的超瞎※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 18:09:56
![[圖]](https://i.imgur.com/LaaMuWIh.jpg)
推 : 一開始扭蛋網站也是顯示錯誤,但剛剛再去試一次已經可以成功查詢到了~大家可以再去試看看噢!48F 12/30 18:55
![[圖]](https://i.imgur.com/WMKALHVh.jpg)
推 : 看到這篇文也去查了一下,結果跟樓上一樣...51F 12/30 19:01
推 : 六點半的時候查一直出現五迷知道了,但剛剛再去查就有跑出報名序號了!希望明後天也可以順利跑出序號QQ52F 12/30 19:03
推 : 剛查我2筆都正常,我當時是直接用手動打電話號碼,不是剪下貼上,不知這樣是不是有影響?54F 12/30 19:05
→ : 查不到,都是電話錯誤啊…56F 12/30 19:05
→ : 當時剪下貼上的人,如果還是不行,之前是先存在哪裡等報名的時候直接剪下貼上的,不如重演一次看看吧57F 12/30 19:08
推 : 我報名時是複製貼上的,查詢目前都有出現序號!不知道問題出在哪….59F 12/30 19:08
→ : 因為網站看起來修改過,也非常的陽春,我在想有沒有可能記憶了當時的格式,所以現在用手打數字進去就不一樣了XD61F 12/30 19:15
推 : 比較常見的就是複製貼上 沒注意到會多打空格
畢竟空格根本看不出來64F 12/30 19:37
畢竟空格根本看不出來64F 12/30 19:37
推 : 我是手動輸入的66F 12/30 19:38
推 : 反正電話號碼不對就試試加個%2067F 12/30 19:41
推 : 我手打手機號碼都查不到,前面加上一個空格就查詢到了68F 12/30 20:15
推 : 朋友七點查到,現在又查不到,到底相音在玩什麼QQ69F 12/30 20:44
推 : 我查詢全都是電話號碼錯誤,相音又不回信,明天該怎麼辦呀…70F 12/30 20:56
推 : 有心人要撈應該可以撈? 台灣人個資真的很好賣的QQ72F 12/30 21:25
若有板友是明天12/31場次,但是登不進去扭蛋系統的請站內我訂單編號我可以協助你查詢,這次的方法比較偏我就不公開了
暫時僅幫忙12/31的,其餘日期請先找相信音樂優先
※ 編輯: a29174332 (36.232.81.51 臺灣), 12/30/2023 21:31:28
推 : 趕快把別人的扭蛋都給他對換掉,這樣相信才會重視,超扯的資安,有跟沒有一樣,這個可以報案個資外洩吧73F 12/30 21:32
推 : 這次就要漲價使用線上付款 結果搞得問題一堆 唉75F 12/30 21:57
推 : 三顆只查到兩顆…傻眼。76F 12/30 21:58
推 : 我付款完就沒查了 反正票在我手上 資料也都是我 不可能現場查不到吧OAQ77F 12/30 22:05
推 : 我覺得明天問題很多,他就會改成用截圖也可以XD79F 12/30 22:31
推 : 用截圖機率不大,因為沒兌換要退款。除非又有其他配套措施。80F 12/30 22:35
推 : 反正資料外流把幾千人的都給兌換這樣就好了,讓大家沒得抽很棒,爛死了的資安,由夠扯,個資外流都沒事82F 12/30 22:52
推 : 剛剛再試查查不到的那顆,突然又查得到了84F 12/30 23:46
推 : 剛剛重新把自己報名成功的場次都查過
是都有出現資料的,目前查還是要輸入電話85F 12/31 00:24
是都有出現資料的,目前查還是要輸入電話85F 12/31 00:24
推 : 慘了看不懂87F 12/31 01:01
推 : 一個相關科系 就可以找出漏洞 這家公司真的很神奇w88F 12/31 04:34
推 : 有點擔心今天扭蛋的狀況...@@89F 12/31 08:51
→ : 可能會先網路塞車吧,那邊訊號也不怎好90F 12/31 11:54
→ : 推91F 12/31 14:05
推 : 突然想到我刷完扭蛋就被盜刷3290遊戲幣了QQ不知道跟這次有沒有關係92F 12/31 20:42
--
作者 a29174332 的最新發文:
- 79F 74推
- 34F 17推
![]()
如題 剛剛看到101跨年煙火御用空拍團隊的老闆發的圖 這應該是今天唯一一張空拍了吧? 這樣有多少人呢? 499?584F 401推 19噓- 10F 6推
- 93F 55推
點此顯示更多發文記錄