4399 的一处逻辑漏洞

漏洞地址:http://huodong.4399.com/2018/pcgame/lb.php?id=73

1:基本操作,抓包

1

2:把包放到重发器进行逻辑测试

2

3:发现漏洞,dhlb1修改为dhlb方可无限重发,导致无限领取激活码

3

4:漏洞证明

4

x

修复建议:

网站逻辑漏洞修复,简单来说在获取当前登录用户的时候,对该用户的身份进行确认,以及安全验证该用户是否存在操作的权限,在请求中加以token随机值在服务器端对每一次的请求进行token效验。

原创作者: hyck
漏洞发现时间:2020-02-28