记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

多玩网YY歪歪语音强制封任何频道主播漏洞

2014-12-17 15:46

漏洞网站: http:/m.yy.com/



漏洞说明:此漏洞是歪歪娱乐直播上某接口权限过滤不严,导致用户可以越权操作!



漏洞步骤:1.随便登陆个拥有OW身份(即有建立频道紫色马甲身份的歪歪账号)登陆漏洞网站。

2.登陆该网站业务中名为签约主播管理这个业务,然后选择冻结直播权限管理这里!



具体步骤是:(签约主播管理—冻结直播间管理-输入YY号-授予权限-分析提交的post数据包中接口的参数,发现参数chId没有后端JS验证,导致可以随意修改指定频道添加冻结直播间权限管理的歪歪号)



PS:当然能添加,也能撤消。此页面任何权限操作。均没有对此参数进行后端验证!

漏洞证明:

漏洞接口地址:

code 区域
m.yy.com/zone/次处是你自己登陆的YY号/gh/freezeAnthSubmitOrCancel.action



佩佩漏洞测试图.jpg



然后就能实现任何频道随便封主播直播权限的资格了!



如果恶意利用此漏洞,会让歪歪造成不小的损失!



求礼物,提了N个漏洞,都没有要礼物,歪歪熊家里都堆成山了!

修复方案:

后端JS!


知识来源: www.wooyun.org/bugs/wooyun-2014-081699

阅读:100001 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“多玩网YY歪歪语音强制封任何频道主播漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

🧚 🤲 🧜

标签云