WooYun.org

1.测试网址：http://find.yyemebed.yy.com:80/
实现过程：首选随便对一个想要关注的YY号进行搜索.比如我的YY号94154.然后利用抓包工具抓取我对应的歪歪号的UID..因为歪歪都是由UID进行对应的.加好友关注也不例外!.

抓包我们可以分析看到 加关注的提交方式是以get的方式提交的,接口是:/idol/被关注的YY号UID/自己的UID。
代码如下：

http://find.yyemebed.yy.com:80//idol/被关注IM的UID/关注IM的UID

（通过抓包分析。发现这块还有cookies验证。如果没有cookies那不是不行?经过测试奇葩的地方出现了，这里的接口居然不通过cookies验证，只对UID进行验证，而且是本地验证，没有后端验证）
于是乎我这个逻辑控。。我们都会想到，我们如果互相替换被关注，跟关注的UID是不是就能变成我们可以关注任何人的歪歪号？
经过测试，歪歪官方的技术哥哥在这个地方确实后来补上了验证，后端加了验证，可是凭我这个逻辑控多年的对歪歪技术的了解，大部分网站的技术哥哥都比较粗心，于是，让我想起了我买的渗透书网络安全里面的一则，多阶段会话安全逻辑问题。我想技术哥哥应该没有封好存在这个多阶段会话问题。
意思就是：我们从点开搜索好友的那一刻的接口:http://find.yyemebed.yy.com:80/auth/index/处就进行uid的欺骗。事实证明那块技术哥哥忘记加验证了。而是在最后一步加了验证，补尾不补头的做法,实在难以恭维啊！
然后就能顺利的进行任何好友关注了！

于是乎我这个逻辑控。。我们都会想到，我们如果互相替换被关注，跟关注的UID是不是就能变成我们可以关注任何人的歪歪号？
经过测试，歪歪官方的技术哥哥在这个地方确实后来补上了验证，后端加了验证，可是凭我这个逻辑控多年的对歪歪技术的了解，大部分网站的技术哥哥都比较粗心，于是，让我想起了我买的渗透书网络安全里面的一则，多阶段会话安全逻辑问题。我想技术哥哥应该没有封好存在这个多阶段会话问题。
意思就是：我们从点开搜索好友的那一刻的接口:http://find.yyemebed.yy.com:80/auth/index/处就进行uid的欺骗。事实证明那块技术哥哥忘记加验证了。而是在最后一步加了验证，补尾不补头的做法,实在难以恭维啊！
然后就能顺利的进行任何好友关注了！
PS：特别提示：我是一个对多玩非常热心的白帽子，从未对此漏洞进行拉过一次关注！也没有做过破坏，我教程所举例子的歪歪号的粉丝。均是靠自己的人气加的..并非此漏洞强制刷的.可以查后台时间呦.是官方产品的技术哥哥叫我来测试的，不要封我号额！
提交了N个漏洞，一直没要过奖励，求多玩技术哥哥给个5位激活码！