意外的惊喜
,我闲着没事在测试萌百的 API(https://api.moegirl.org.cn/),我之前都通过自动进行的 cookie 同步,但由于主力设备当时正在修理,便选择手动找到必要的 cookie,并用于测试。
萌百通常用于鉴权等的 cookie
有三个:moegirlSSOUserID、moegirlSSOToken、moegirlSSOUserName,通常前两个足以,但我测试时发现有一些似乎不够,一些返回我的用户名的字段会变成
IP,于是我突发奇想,放了个萌娘百科·娜娜奇的用户名(百分号编码),然后,大部分的 API 都返回了那个用户的信息……
我正好逛到了发布帖子的 API(大概是 https://api.moegirl.org.cn/moegirl.moepad.MoepadCommunityService/NewArticle),并不小心按下了发送……
命运的齿轮
是的,鉴权只是检测了这 3
个的值,然后各自使用需要的值,就像此处用户名、链接是来自
moegirlSSOUserName 的,头像是来自
moegirlSSOUserID
的,而评论本身的发布指向是来自我的,因为之后有人回复了这条,而我收到了通知。说实话,我不确定这个是否真的用到了
moegirlSSOToken 来鉴权,但至少用户名没有对应。
当我发现了这个,我又尝试了获取用户的萌百会员支付历史(https://api.moegirl.org.cn/moegirl.moepad.MoepadPurchaseService/GetPaymentHistory,是的,我以那个用户的 moegirlSSOUserID、moegirlSSOUserName
和我的
moegirlSSOToken
获取到了那个用户的历史,并发现其为了测试萌百会员,付出了 ¥0.14
的巨款(x
混沌的中立
与之前不一样,这次我只提报了这张图片,没有提供其他信息(毕竟是个很明显且没啥技术含量的漏洞)。在一周后我再次检查,此问题已经修复了。