JJDD.COM绕过权限验证任意留言评论 - 网站安全 -

http://jjdd测试数据/ 针对有热度的人要回复留言评论等都需要红豆，而红豆要购买。   现在可以直接利用这个接口绕过前台的权限验证 http://HdhCmsTestjjdd测试数据/comment/add_comment?uid={uid}&ouid={ouid}&relate_uid=&reply_comment_id=&source_id=3&source_type=3&status=1&content=test&pay_card=0   {uid}：发送人的用户ID {ouid}：接收信息的用户ID {source_type}：信息类型，目前已知道的有，1是相册；2是个人说说；3是小编专访 {source_id}：信息类型对应的对象ID（通过查看html 源码 可以知道要回复的对应ID是多少）   透过上面的DEMO地址，将参数对应填入，即可任意留言回复。而且用户ID可以任意填写，没有限制只能当前登录用户。   修复方案： 在这接口验证权限作者  

查看更多关于JJDD.COM绕过权限验证任意留言评论 - 网站安全 -的详细内容...