记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

优酷某API缺陷导致撞库获取VIP账号等(证明可获取大量VIP用户)

2015-05-09 10:05

优酷某API缺陷导致撞库 查询VIP等

第一步:

使用android端优酷登录并抓包,获得如下数据包
 

捕获1.PNG



打码有点乱不好意思。这里提交的字段有很多,经过进一步精简测试后得出如下可用数据包
 

捕获2.PNG



可以看出只有这三个关键字段,用户名,密码(md5加密的),另外一个推测是类似于“method”的固定字段。这样就获得了优酷的私有登陆API。

有了登陆请求数据包就不难进行批量撞库,经测试,优酷进行了一定的限制,比如同一个用户测试次数(爆破)不可行,而且速度太快也不行。但是限制的不够彻底,如果程序使用单线程进行撞库还是有效的。

第二步:

使用如上数据包成功登陆后会返回类似token的字段。利用与上面相同的抓包精简方法找到查询VIP的API,{/common/v3/member_vip_info?pid=87c959fb273378eb} 只要带着刚才的"token"访问这个页面就可以获得VIP信息。

 


这只是使用了一个公开库撞库的结果,想不到竟然有人vip时间这么久。
 

捕获3.PNG

 

解决方案:

1.对API增加校验字段,校验算法用jni实现防止被简单反编译

2.限制单个ip登陆次数,无论是相同用户名还是不同用户名


知识来源: www.2cto.com/Article/201505/397726.html

阅读:107130 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“优酷某API缺陷导致撞库获取VIP账号等(证明可获取大量VIP用户)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云

本页关键词