保存笔记而已~~~~~~


本文涉及业务URL如下


1.http://top.iqiyi.com/youxi.html

2.http://www.iqiyi.com/u/fav


本文涉及漏洞URL如下

http://subscription.iqiyi.com/dingyue/api/subscribe.action?agent_type=1&subKey=206770201&subType=2


由于爱奇艺游戏风云榜,电视剧收藏,电影收藏等收藏业务,都是使用的一样的业务地址,所以类似情况通用。。



先来到测试账号一,追剧&收藏,发现未收藏任何视频

1.png


接着我们来到风云榜-游戏,点击任意游戏的收藏,并且拦截抓包请求

2.png

这里不对抓包请求中的一些参数做一些详细解释(毕竟我也不懂),从antiCsrf这个参数可以看出,后端其实是做了CSRF处理的。

30.png



然后进个人中心,发现刚刚收藏的游戏视频在了。

4.png

到了这里,原本想,应该安全了啊,但是事实并非如此。请看下面步骤
我们把URL中的一些参数删除一些,并且将POST请求改为GET请求和变换subKey的值,也就是我们要收藏的那个游戏ID的值

50.png
你猜怎么着??近期追剧中出现了subKey=204534801这个游戏的视频。
6.png
到了这里,我猜想。一定是有CSRF了。。。。

请继续往下看。。。。。。



为了验证我的想法,我在我本机火狐浏览器登陆了我另一个爱奇艺账号(没有VIP.....),准备验证我的CSRF想法

还是像上面第一步一样。来到追剧&收藏,发现没有最近追剧。。。。
7.png


新开个窗口打开下面的URL

http://subscription.iqiyi.com/dingyue/api/subscribe.action?agent_type=1&subKey=206770201&subType=2

8.png

这时候再次来到个人中心,追剧&收藏。发现收藏了未知视频

其中的未知视频其实为:subKey=206770201 的游戏视频
9.png