关于我刚注册就发现了论坛的BUG这件事
在我准备使用论坛的一键注册功能时,不经意间打开的控制台的网络面板,在完成人机验证之后,发现会请求一个ajax接口叫做https://www.mcarea.top/do/api/fastreg.php,ajax包含3个post参数,分别是password、token和server,其中token和server是VCaptcha(人机验证)的参数,用于让服务器验证人机验证是否通过。我查看了VCaptcha的文档,发现是让服务器自行向server参数的服务器地址发送post请求,来获得vcaptcha服务器的答复。
我使用PostMan伪造了一个虚拟的post请求,将server这个URL地址改为我自己的服务器地址,然后发送请求。
随后我看到了我的服务器日志,发现请求已经收到了。下面是MCArea服务器的信息:
服务器位于 河南省南阳市唐河县文峰街道中国联通唐河县分公司附近1km内 , 发送的请求使用的协议是SSLv3 , 服务器支持IPv6访问。
漏洞已修复,请各位不要继续尝试/xk admin 发表于 2024-8-3 10:33
漏洞已修复,请各位不要继续尝试/xk
要不然会很刑哦 qwq 我还年轻不想进去{player-happy} 7v1 发表于 2024-8-3 11:27
qwq 我还年轻不想进去
站长不是说请各位不要继续尝试吗?
你是第一次,不是那个继续
页:
[1]