看到个帖子,说有人用指纹浏览器配合F12开发者工具搞到了免费的高级订阅套餐,漏洞挺严重的。链接在这:
报告里提到“它”手里有11G的滥用数据。我有点怀疑,“它”是不是想拿这些数据去找官方换漏洞奖励啊。
这帖子看完了,但我想问下有没有人用过那个xx加速器啊,最近打游戏老卡,不知道是不是同一个原理。
是不是用修改本地存储的方式绕过了订阅验证啊?我不太确定,感觉像是前端校验没做完整。
mark一下,等个后续。
又来这种帖子了,每次都说有严重漏洞,最后要么是假的,要么早被封了,散了散了。
没用的,官方肯定早监控了,现在用这种小手段分分钟封号。
报告里说的“11G的滥用数据”具体是什么格式的啊?是日志文件还是数据库dump?有没有提到数据的时间范围?感觉这个量级有点夸张了。
之前玩其他平台也遇到过类似漏洞,当时是用浏览器控制台改了个返回值,白嫖了一个月会员,后来那个参数就被加固了,还收到了一封警告邮件。所以这种漏洞一般存活期很短,而且有法律风险,不建议尝试。
操作大概是这样:先装好指纹浏览器,打开目标页面,F12进网络面板,找到那个订阅请求,右键编辑并重发,把返回结果里的某个状态码字段手动改掉。不过我不确定现在还行不行得通。
小白问一下,F12开发者工具不是前端调试用的吗?这也能用来改付费逻辑?那服务器后端不做校验的吗?感觉好神奇,有没有大佬科普下。
正经后端肯定校验 能被F12绕过的都是没做服务端验证
这种严重漏洞帖见多了,不是钓鱼就是早被堵上了,散了散了
隔三差五就有滥用报告,渠道商压力够大