腾讯旗下的应用QQ牧场,由于设计缺陷,存在可以秒刷300经验的 漏洞 。 直接在post请求中将num改为100,再post就可以了实现打死100个蚊子,秒刷300经验了。 设计缺陷,没有判断num的数量是不是真正存在,即使牧场没有蚊子,请求打死100蚊子也会返回成功。 出现漏洞的原因:设计的时候,判断不够严格。、 自己写了个小工具作为测试,工具测试截图如上。 www.2cto.com 第一个图是打死一个蚊子的数据。 然后只要有了这个数据包,把num改为100就可以瞬秒300经验了, 如第二个图。 我那里显示276,是因为牧场打蚊子经验上限是300,我已经拍了24经验的蚊子了,所以就显示276。 可以看到是可以正常的返回数据请求的,去相应QQ号的牧场中刷新牧场,也可以看到经验有增加,其他人也可以看到,并非本地自慰的效果。 第一次来发漏洞,有什么地方写的不好的,还请见谅。 作者 px1624
查看更多关于腾讯QQ牧场秒刷300经验漏洞及修复 - 网站安全 -的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did11747