加加米点击普通网站可刷积分的介绍及其修复方法(图解)

2025-3-7 11:39| 发布者: CZN| 查看: 24| 评论: 0|原作者: 脚本之家|来自: jb51.net

通过该漏洞,可以刷加加米的积分
详细说明：
通过Fiddler软件可以截取包达到修改js目的
让这里的20不用再等待直接提交ajax 来做时间欺骗
之前js文件click.js

复制代码代码如下:
function init(s_time, d_delay, p_id, t_countr) {
delay = s_time;
counter = t_countr;
original = s_time;
def_delay = d_delay;
pid =p_id;
main_go();
}
function main_go() {
if (test_go) {
if (counter>=1) {
$('#secSpan').html('还剩'+ counter-- +'秒');
timerID=setTimeout('main_go()',1000);
}else {
$('.fr').html('领取');
}
}
}

修改之后

复制代码代码如下:
function init(s_time, d_delay, p_id, t_countr) {
pid =p_id;
ajaxTimeRequest();
$("#barframe").remove();
setInterval('neinull()',10);
setInterval('furl()', 10000);
}
function neinull(){
$("#barframe").remove();
}
function furl(){
$("#barframe").remove();
ajaxTimeRequest();
}

这里可以不显示网页内容直接提交获得积分
修复方案：

复制代码代码如下: 
$(function(){
init(20, 20,'175efqi51i8xVbyf5ipzpWnCdGJZR3ULtrUOhF+jLNqz/pM' , 20);
var barframe = $('#barframe'); www.jb51.net
barframe.css('height',$(window).height() - 68);
$(window).resize(function() {
barframe.css('height',$(window).height() - 68);
});

});
页面的这里init方法第三个参数这个加密的字符串用linux时间戳来加密验证时间是否大于等于20秒

作者无奈

鲜花

握手

雷人

路过

鸡蛋

上一篇：新浪生活服务互动社区Mysql盲注漏洞的介绍及其修复方法(图解)下一篇：qq邮箱的几个跨站的方式及修复方案(用word文档,flash跨站,文本型附件等)

加加米点击普通网站可刷积分的介绍及其修复方法(图解)

相关分类