### 简要描述:
53KF软件,可以随意冒充客服发送消息给访客。
### 详细说明:
首先,查看网络请求,发现访客给客服发消息的时候,请求的内容如下:
[<img src="https://images.seebug.org/upload/201508/04113316beaaf8d049dfbad0480df5425c1bb3d7.png" alt="QQ20150804-7@2x.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201508/04113316beaaf8d049dfbad0480df5425c1bb3d7.png)
这时候,高潮来了,我们把sid和did倒一下,然后用curl发个请求过去,这个时候,居然,对话窗口,客服,活了,客服说话了!!!!太假了!!!
[<img src="https://images.seebug.org/upload/201508/041133278d9559dbd4d4df999d8cc11fff63cd18.png" alt="QQ20150804-8@2x.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201508/041133278d9559dbd4d4df999d8cc11fff63cd18.png)
[<img src="https://images.seebug.org/upload/201508/0411334213bdc19355c295f69fa094ea5452da4b.png" alt="QQ20150804-9@2x.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201508/0411334213bdc19355c295f69fa094ea5452da4b.png)
别问我怎么发现的。
好不容易找下万里通客服。
发过去的消息都不回复。
本想用curl疯狂发消息。
然后不小心将sid和did调换了一下。
然后还需要然后吗?
### 漏洞证明:
不用证明了吧。
京公网安备 11010502034610号
暂无评论