网站地图    收藏   

主页 > 后端 > 网站安全 >

腾讯QQ牧场秒刷300经验漏洞及修复 - 网站安全 -

来源:自学PHP网    时间:2015-04-17 13:03 作者: 阅读:

[导读] 腾讯旗下的应用QQ牧场,由于设计缺陷,存在可以秒刷300经验的漏洞。直接在post请求中将num改为100,再post就可以了实现打死100个蚊子,秒刷300经验了。设计缺陷,没有判断num的数量是不...

腾讯旗下的应用QQ牧场,由于设计缺陷,存在可以秒刷300经验的漏洞
 
直接在post请求中将num改为100,再post就可以了实现打死100个蚊子,秒刷300经验了。
 
设计缺陷,没有判断num的数量是不是真正存在,即使牧场没有蚊子,请求打死100蚊子也会返回成功。
 
出现漏洞的原因:设计的时候,判断不够严格。、



 
 
自己写了个小工具作为测试,工具测试截图如上。
 www.2cto.com
 
 
第一个图是打死一个蚊子的数据。
 
然后只要有了这个数据包,把num改为100就可以瞬秒300经验了,
 
 
如第二个图。
 
我那里显示276,是因为牧场打蚊子经验上限是300,我已经拍了24经验的蚊子了,所以就显示276。
 
 
可以看到是可以正常的返回数据请求的,去相应QQ号的牧场中刷新牧场,也可以看到经验有增加,其他人也可以看到,并非本地自慰的效果。
 
第一次来发漏洞,有什么地方写的不好的,还请见谅。
 
作者 px1624

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论