糗事百科APP端搭配不当导致一次无趣的Fuzzing（500账号密码已出）

由这里可以看出技术人员是做过限制的，但是对于这种1 v 1的方式是没用的。

http://wap3.qiushibaike.com/login

http://nearby.qiushibaike.com/user/100/detail

获取login字段的内容（用户名）

写个工具遍历id

跑啊跑~这里的中文unicode了。批量转换过来就行

在测试过程中，请求过频繁。导致503了。ping也ping不通。app端也没刷新不出。（也就没继续了。）

ReSult：

登陆：

技术大哥上次那个1rank真的很让人不乐意...

邮箱出来了只有1rank....唉。这次如果那

求高Rank，求礼物~

验证码。

厂商回应：

危害等级：低

漏洞Rank：4

确认时间：2014-07-24 15:29

厂商回复：

确认该漏洞。该问题主要影响简单密码用户。已经采取临时措施进行屏蔽。后续追加验证码。

最新状态：

暂无

1. 2014-07-23 13:00 | 兜兜揣肉包 ( 实习白帽子 | Rank:72 漏洞数:17 )

   0

   天王盖地虎~

   1# 回复此人

2. 2014-07-23 13:18 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸！)

   0

   宝塔镇河妖

   2# 回复此人

3. 2014-07-23 13:27 | pandas ( 普通白帽子 | Rank:730 漏洞数:84 | 国家特级保护动物)

   0

   @铁蛋火车侠 小鸡炖蘑菇

   3# 回复此人

4. 2014-07-23 13:50 | m_vptr ( 普通白帽子 | Rank:134 漏洞数:31 | 新手)

   0

   小葱拌豆腐

   4# 回复此人

5. 2014-07-23 14:14 | 漂流瓶 ( 路人 | Rank:7 漏洞数:4 | 2B)

   0

   糗事百科加密你能解？

   5# 回复此人

6. 2014-07-24 09:10 | p.z ( 普通白帽子 | Rank:411 漏洞数:40 )

   0

   天王盖地虎 兜兜揣肉包 铁蛋火车侠 宝塔镇河妖

   6# 回复此人

7. 2014-07-24 10:16 | 郭斯特 ( 普通白帽子 | Rank:185 漏洞数:71 | GhostWin)

   0

   @p.z 求别闹...

   7# 回复此人

8. 2014-07-24 10:34 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

   0

   一天13次，谁要麻辣烫

   8# 回复此人

9. 2014-07-24 15:42 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

   0

   一入糗百深似海

   9# 回复此人

10. 2014-07-24 23:49 | LauRen ( 路人 | Rank:4 漏洞数:1 | 苦逼屌丝一枚。)

    0

    @tenzy 6块的吗

    10# 回复此人

11. 2014-07-28 14:54 | tenzy ( 普通白帽子 | Rank:176 漏洞数:21 | Need not to know)

    0

    @LauRen 肯定是6块的啊。多了请不起

    11# 回复此人

12. 2014-09-06 13:35 | 黑色的屌丝 ( 实习白帽子 | Rank:39 漏洞数:6 | →_→→_→)

    0

    求张文朝LP 图片

    12# 回复此人

13. 2014-09-06 13:35 | 黑色的屌丝 ( 实习白帽子 | Rank:39 漏洞数:6 | →_→→_→)

    0

    求黄瓜姐TP

    13# 回复此人

14. 2014-09-06 16:46 | 167怪兽 ( 路人 | Rank:3 漏洞数:2 | 167怪兽)

    0

    卧槽 我说怎么前两天根本浏览不出来！！！

    14# 回复此人

15. 2014-09-07 20:20 | 星少 ( 路人 | Rank:1 漏洞数:1 | 关注美女与网络)

    0

    有木有图

    15# 回复此人

16. 2014-09-10 15:51 | T-MAC ( 路人 | Rank:19 漏洞数:2 )

    0

    天王盖地虎

    16# 回复此人