关于QQ注册后下载号码的一个小漏洞

燕十三丶 · 发表于 2020-4-8 21:38:27

紫薇新芝士学到了

zimuxiaosheng · 发表于 2020-4-8 21:40:17

maggch 发表于 2020-4-8 21:30
这算什么漏洞？

在这里对号码不做校验
就说明很多服务也可能不做校验
这就有趣了，而且我这个属于抛砖引玉
本人也挖过几个洞，挖到过两个这种不做校验的越权洞子，所以说，抛砖引玉抛砖引玉

zimuxiaosheng · 发表于 2020-4-8 21:42:56

西北老汉发表于 2020-4-8 21:21
自欺欺人

我认为，这个txt就可以认为是敏感数据，你本应该拿到属于你自己的txt
但是我通过修改参，修改包，可以达到伪造别人的txt的效果
你可以把这个txt想象成密码，数据，后台页面的校验值

b66667777 · 发表于 2020-4-8 21:50:33

看看

qmsht · 发表于 2020-4-8 21:51:18

这个txt文件应该是临时生成的。
但是这个文件链接里的域名重要，有想法的人会玩。

		自动登录	找回密码
密码			注册

[疑问] 关于QQ注册后下载号码的一个小漏洞