腾讯一个典型的CSRF漏洞

  • A+
所属分类:WEB安全

今天想着找个腾讯的漏洞来着,太久没报乌云漏洞了,rank好低。然后找到了腾讯之前的一个老接口,使用q币买东西送游戏币的,简单测试了一下,存在csrf漏洞。

在使用Q币转换成游戏币的接口中,存在CSRF问题,URL:

http://account.play.qq.com:8080//cgi-bin/buyitem_present_yxb1?item_id=57&item_num=1

这个是兑换1Q币的连接,item_id中的57代表1元,58代表2元,59代表10元,假如以图片形式夹带在空间或者邮件中或发给他人点击时,造成自动消费,本人在测试时就不小心把仅有的10Q币全部花掉了,变成游戏币,我擦。这个算是比较典型的CSRF漏洞了,而且危害比较大,可以浪费对方的Q币。

腾讯一个典型的CSRF漏洞

腾讯一个典型的CSRF漏洞

乌云链接:http://wooyun.org/bugs/wooyun-2010-010451

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: