腾讯一个典型的CSRF漏洞

作者: 日期: 2012 年 8 月 1 日 发表评论 (0) 查看评论

今天想着找个腾讯的漏洞来着,太久没报乌云漏洞了,rank好低。然后找到了腾讯之前的一个老接口,使用q币买东西送游戏币的,简单测试了一下,存在csrf漏洞。

在使用Q币转换成游戏币的接口中,存在CSRF问题,URL:
http://account.play.qq.com:8080//cgi-bin/buyitem_present_yxb1?item_id=57&item_num=1

这个是兑换1Q币的连接,item_id中的57代表1元,58代表2元,59代表10元,假如以图片形式夹带在空间或者邮件中或发给他人点击时,造成自动消费,本人在测试时就不小心把仅有的10Q币全部花掉了,变成游戏币,我擦。这个算是比较典型的CSRF漏洞了,而且危害比较大,可以浪费对方的Q币。

乌云链接:http://wooyun.org/bugs/wooyun-2010-010451

你可能喜欢

本文标题:腾讯一个典型的CSRF漏洞
本文链接:https://www.nigesb.com/a-typical-csrf-vul.html
订阅本站:http://www.nigesb.com/feed
转载请注明来源,如果喜欢本站可以Feed订阅本站。

网络安全,
发表评论?

0 条评论。

发表评论


注意 - 你可以用以下 HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>