Một loạt hàm AJAX dạng get, truyền vào username và lấy thông tin user. Đặc biệt hơn, trong
JSON hàm này trả về bao gồm cả thông tin nhạy cảm như địa chỉ cá nhân, ngày tháng năm
sinh, e-mail.
Hàm GET này không có authentication, nên mình hoàn toàn có thể lần lượt thay username
vào và lấy thông tin của toàn bộ user. Tuy nhiên, việc test lần lượt từng username khá lâu,
nên cách này không khả thi lắm.
Làm sao tiếp tục? Mình bắt đầu chuyển qua nghịch... ứng dụng mobile của lozi.
Đến app mobile
Có một sự thật “nho nhỏ” mà ít bạn biết là: Mặc dù mình hay viết bài về C# và JavaScript
nhưng thật ra mình cũng khá rành Java và Android đấy nhé. Thôi không khoe nữa, quay lại
chủ đề chính nào. Việc nghịch ứng dụng cũng không quá phức tạp. Mình chỉ cần
lên apkpure.com tải file apk, sau đó dùng tool decompile là đã có source code ứng dụng
android của lozi rồi.
Có vẻ lúc publish, team lozi chưa obfuscate code nên code vẫn y nguyên. Do team code rất
đúng chuẩn OOP và SOLID nên cũng không quá khó khăn để mình lục tìm đoạn code gọi API
của lozi. Đoạn code khiến mình chú ý chính là đoạn gọi API SearchUser.