漏洞概要
关注数(24)
关注此漏洞
漏洞标题:如何用微信运动在朋友圈占据第一名
相关厂商:腾讯
提交时间:2015-10-10 10:59
修复时间:2015-10-13 17:02
公开时间:2015-10-13 17:02
漏洞类型:设计缺陷/逻辑错误
危害等级:低
自评Rank:1
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-10-10: 细节已通知厂商并且等待厂商处理中
2015-10-13: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
两个多月前,朋友圈的同学们每天都“高谈阔步”,一走就是“几万里”。抱着学习的态度,萌生了这个bug。
PS:没什么技术含量,大牛勿喷,纯属娱乐。
详细说明:
当使用第三方数据源向微信运动提交数据的时候,其实微信运动并没有校验数据的真实性,直接update到db。
所以在提交数据的时候,我们抓个包,修改数据的steps,再提交给微信运动。
这样微信运动里的steps就可以达到程序定义的max
需要一个第三方app:乐动力
将手机和电脑设置在同一vlan下,用电脑抓取乐动力手动提交给微信运动的数据包,修改steps,重新send。
Response中"status": "OK"表示提交成功。
Request的请求数据:
写了个python脚本,自己验证通过,其他人验证还不清楚。
在运行脚本之前,需要先在脚本中编辑两个变量。
steps
uid(uid在乐动力app的界面上)
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-10-13 17:02
厂商回复:
非常感谢您的反馈,经评估报告中反馈的漏洞并不属于腾讯业务漏洞,请反馈给相关厂商处理。
最新状态:
暂无