来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] 腾讯旗下的应用QQ牧场,由于设计缺陷,存在可以秒刷300经验的漏洞。直接在post请求中将num改为100,再post就可以了实现打死100个蚊子,秒刷300经验了。设计缺陷,没有判断num的数量是不...
腾讯旗下的应用QQ牧场,由于设计缺陷,存在可以秒刷300经验的漏洞。
直接在post请求中将num改为100,再post就可以了实现打死100个蚊子,秒刷300经验了。 设计缺陷,没有判断num的数量是不是真正存在,即使牧场没有蚊子,请求打死100蚊子也会返回成功。 出现漏洞的原因:设计的时候,判断不够严格。、 自己写了个小工具作为测试,工具测试截图如上。 www.2cto.com 第一个图是打死一个蚊子的数据。 然后只要有了这个数据包,把num改为100就可以瞬秒300经验了, 如第二个图。 我那里显示276,是因为牧场打蚊子经验上限是300,我已经拍了24经验的蚊子了,所以就显示276。 可以看到是可以正常的返回数据请求的,去相应QQ号的牧场中刷新牧场,也可以看到经验有增加,其他人也可以看到,并非本地自慰的效果。 第一次来发漏洞,有什么地方写的不好的,还请见谅。 作者 px1624 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com