- 377 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 11:20:51 ID:ooFUkDii0]
- 大体、時速4000の謎が解けてきた。
結論から言うと、プレイヤーから「とりあえずマイリスト」する機能の穴で、
CSRF対策用のトークンを見ていないみたい。
具体的に言うと、flapi.nicovideo.jp/api/deflist/add
にポストする際のPOSTで「token=null」で渡しても、マイリス登録
できる。
この感じだと、IP重複も見てないっぽい。
今は忙しいので確認が取れない。誰か確認汁。
ポイント
url:flapi.nicovideo.jp/api/deflist/add
Referer:www.nicovideo.jp/swf/new/nicoplayer.swf?****
メソッド:POST
POSTボディ
description=&item%5Fid=スレッドID&token=null&item%5Ftype=0
多分、実装が間に合わないで、形だけ作った気がする。
以上
