xxx影视平台的一次捡漏

在网页看动漫的时候,突然想到xxx是否有src,本来想着xxx安全应该挺好的,测试几天之后发现问题蛮多的。
 
存在的问题:
1.无限刷粉,粉丝在该平台有多重要:自媒体视频、直播、各种影视公司都是靠这些引流的
2.刷赞,一个视频上万赞也就分分钟
3.刷订阅,也是类似刷粉
4.刷好评,可以让一个垃圾电影轻轻松松上榜一
5.越权兑换体育会员,花别人的分,给自己换会员花
6.还有一些越权、xss、跨域、csrf
 
捡漏过程:(以刷粉丝为例,大家看一眼就会,想测的可以去测测,这个src比较容易)
 
关注的地方有很多,普通用户的关注接口,没有发现这样的问题。继续延展业务模块,注册xxxx之后就会发现里面也有关注粉丝的模块,发现接口不一样:
 
https://xxxxxx.com/interaction/list

 
点击关注的时候,抓包:
 

 
 
找个粉丝多的id: 在上面替换一下就行


 
 
 
 
 
漏洞都很简单,换成谁都会,包括问过一些牛批的师傅,他们大部分漏洞也都是很平常的,没有用到什么骚思路。既然漏洞都是很简单的,换做谁都能一眼看明白,关键就是发现的过程,没有人会告诉你哪里哪里可能存在问题,还是得自己慢慢找,没准下一分钟就找到了。
个人挖洞口诀:(坚持一个星期去了解了解业务,如果感觉实在挖不到就换下家吧,总不可能几十家src都没有一点收获)
耐心>能力>运气
 
欢迎各位师傅们评论区交流,平时挖哪家src,一起?

3 个评论

J哥带带我
我已经坚持去了解pornhub的业务了,你看我还有机会吗?
main

main 回复 wuyou

泽英,这个业务真好啊

要回复文章请先登录注册