接上午的dz论坛漏洞利用刷积分的方法与预防思路
本帖最后由 cejames 于 2022-4-4 18:30 编辑
一、 利用方法
1. 需要准备的软件:Fiddler(需要设置,网上有教程)
2. 完成论坛的任务,先不要领取奖励
3. Fiddler调成之前请求模式(规则-自动断点-之前请求)
4. 点击领取奖励
5. 选中Fiddler中抓到的包按shift+R,设置5次
6. 点击绿色播放键转到
效果:
二、 预防思路
1.请求加入token
2.即时检查论坛奖励发放是否异常
3.要有校验post的代码
4.……
**仅供交流学习,请勿用于非法用途**