接口随意调用
又是越权漏洞的一种,小岛的后端api接口没有进行权限验证,可以随意调用接口,比如我买了别人的贝,调用接口模拟交易对方进行收款确认,订单状态就变成了状态,然后坐等官方给转贝就行了。
利用这个漏洞拿走了素颜的20贝,不需要对方参与就完成了订单,事后和素颜以及官方都进行了说明,并且退还了贝,感谢素颜得坦然接受。
贝壳小岛系列漏洞之六
不好破解不代表没有办法破解,看我下回分解。
又是越权漏洞的一种,小岛的后端api接口没有进行权限验证,可以随意调用接口,比如我买了别人的贝,调用接口模拟交易对方进行收款确认,订单状态就变成了状态,然后坐等官方给转贝就行了。
利用这个漏洞拿走了素颜的20贝,不需要对方参与就完成了订单,事后和素颜以及官方都进行了说明,并且退还了贝,感谢素颜得坦然接受。
贝壳小岛系列漏洞之六
接口随意调用 又是越权漏洞的一种,小岛的后端api接口没有进行权限验证,可以随意调用接口,比如我买了别人的贝,调用...
贝壳小岛休市漏洞 闲来无事玩玩小岛,意外找到了一个小岛休市的漏洞。小岛的挂单出价及数量都做了校验,要大于零,但这个...
重复赎回的后遗症 继前面提到的重复赎回的漏洞之后,通知可官方,并让官方取消了我的赎回订单。但发现官方在对赎回订单进...
自7月3日晚上知道贝壳小岛的存在一来,陆续发现了贝壳小岛的多个高危漏洞,当然大葱哥还是保持了传统习惯,第一时间通知...
7月4日上午继续在玩弄小岛,不经意的发现了一个赎回的漏洞,按钮重复点击,可以发起多次赎回,言外之意就是账户有100...
鸡肋的xss漏洞 习惯性的测试了输入内容,发现贝壳小岛设置个人信息时存在xss漏洞。那就试试能不能拿到管理员coo...
欢迎关注贝壳小岛 友情提示: 各位小伙伴可以添加贝壳小岛客服微信beikeisland进入贝壳小岛。 今天贝壳小岛...
贝壳小岛欢迎您 友情提示: 各位小伙伴可以添加贝壳小岛客服微信beikeisland进入贝壳小岛 今天贝壳小岛送出...
优秀文章推荐: 【贝壳小岛征文】‖『摄影人生』希望之花金达莱 【贝壳小岛征文】‖『品味人生』至善至美的传承 “指手...
【贝壳小岛征文】‖『摄影人生』希望之花金达莱 【贝壳小岛征文】‖『品味人生』至善至美的传承 什么是词汇空缺现象?一...
本文标题:贝壳小岛系列漏洞之六
本文链接:https://www.haomeiwen.com/subject/goohdctx.html
网友评论