其实一开始并不觉得是一个可以报的漏洞,后来是看到报啥的都有,就决定试试。
起因
起因是这样的,突然想起当年高中时候阿基推荐的两首歌,陈劲的无言的反抗和逼上梁山,就突然想听了。然后就上网易云音乐,但是僵硬的是网易云音乐没有版权。于是我就只能上百度搜一波,碰碰运气。当时找了半天,愣是没有找到mp3资源。后来就随便打开了酷我音乐网页版,在线听。再一看,页面上还写着可以免费下载,结果一点果然要客户端。当时就特别气,想着抓包看看能不能直接搞到资源。结果还真的让我搞到了。
经过
抓包时候发现了aac音频文件,但是这个文件路径看起来很诡异,像是一波哈希得到的。我就继续深入下去看路径怎么得到的。结果发现了一个接口。。。
|
|
对几个参数进行尝试后发现
- 其中ID就是某首歌的页面链接里面有的一个ID
- format指定得到资源链接的格式, 优先取前面的, 比如format=mp3|aac会优先取mp3格式, format=aac|mp3会优先取aac格式
- type=convert_url, 加上这参数会返回资源链接
- response=res, 可选, 如果不带就直接返回资源链接, 如果带会直接302跳到资源的链接, 开始下载资源
更僵的是,酷我的后台显然没有对请求进行鉴权。。因为我随手找了一首要钱的歌(使用客户端付费下载),用这个接口直接就可以搞到资源。。
于是我就找了个平台,漏洞盒子,把这个报上去了,拿了个漏洞编号vulbox-2018-0115146,名称是酷我音乐一个权限绕过漏洞。过了几天得到结果:漏洞评级为 中危 ,奖励金币 1个,授予 3 Rank,积分为 4,支付方为 漏洞盒子。
结果
虽然这是一个感觉不算漏洞的洞,但是被确认了我感觉好有成就感。。感受就是只要有一颗热衷于搞事的心,看到什么都想着能不能搞一波,就可能会发现漏洞。。希望有一天我能捡死鸡搞一个CVE编号或者拿到厂商的现金奖励。。