09/11/03 11:20:51 ooFUkDii0
大体、時速4000の謎が解けてきた。
結論から言うと、プレイヤーから「とりあえずマイリスト」する機能の穴で、
CSRF対策用のトークンを見ていないみたい。
具体的に言うと、URLリンク(flapi.nicovideo.jp)
にポストする際のPOSTで「token=null」で渡しても、マイリス登録
できる。
この感じだと、IP重複も見てないっぽい。
今は忙しいので確認が取れない。誰か確認汁。
ポイント
url:URLリンク(flapi.nicovideo.jp)
Referer:URLリンク(www.nicovideo.jp)
メソッド:POST
POSTボディ
description=&item%5Fid=スレッドID&token=null&item%5Ftype=0
多分、実装が間に合わないで、形だけ作った気がする。
以上