来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] 出问题的站点是:http://qing.weibo.com现在我的微博粉丝只有5个人哈!3.我随便找个人关注下,注意这个时候要抓包啊!POST请求如下:POST /blog/api/attentionpost.php HTTP/1.1rialog=A0012uid=【粉丝id】...
|
出问题的站点是:
http://qing.weibo.com现在我的微博粉丝只有5个人哈!
 3.我随便找个人关注下,注意这个时候要抓包啊!
 POST请求如下:
POST /blog/api/attentionpost.php HTTP/1.1
rialog=A0012&uid=【粉丝id】&aid=【关注的对象id】&name=【可以不填】&is_follower=【可以不填】
上述两个参数中最重要的是uid,就是粉丝的id号,默认是本次请求的账户id,aid是关注的对象,也就是需要刷粉丝的那位客观!
4.为了演示漏洞效果,我把乌云账号刷成我的粉丝
5.开始了,构造POST的请求如下,uid写乌云的账号,aid写我自己的账号,其他不变,查看返回吧!
 6.再看下实际效果,成功俘虏乌云成为我的粉丝:
 7.如果我将本次POST的请求发送给burpsuite的intruder模块,uid设置成10位数字去遍历,我会日刷千万粉丝么?
修复方案:
我尝试了多少次的失败才有这一次的发现! |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
