WooYun.org

越权查看隐私，实现无限次推送广告，实现大面积推送广告，诈骗风险等。
1.越权查看陌生人隐私。
起因是登陆某女生的人人主页，想看看她的状态，被拒绝。

心灰意不冷，查看源代码。

点击之后出现了惊喜。自动跳转到了这个地址，从而能够查看陌生人的所有的状态。

接着继续刨,找到了这个网址http://www.renren.com/288518215#!/256405***其中足迹可以点击

这样，该陌生人的足迹信息一览无余，点击箭头所指，该好友的分享、电影信息也可查到

综上所述，能够查询到陌生人的所有的状态，分享，足迹，电影信息。在之前，人人网都是禁止访问的。
2.实现向陌生人大量轰炸垃圾、广告信息。在人人网的策略里，给陌生人留言，发站内信是需要输入验证码，禁止向陌生人的状态里进行回复信息。
测试建立在这个地址http://www.renren.com/288518215#//status/status?id=539648288，感谢人人网小伙伴Q的号提供测试。288518215为我的测试号，539648288为小伙伴Q的测试号。两个号为陌生人。
在小伙伴Q的某个状态下进行回复，抓包。

进行repeater攻击，在这里可以无限次回复任意内容（实现广告）返回1031即为成功。

效果如下，广告内容可以无限次发送。

更严重的是，如果在某位网络红人A里的状态进行回复，会造成恶劣影响。这样，不仅A能收到广告信息提醒，A的状态回复者也能收到广告信息提醒。。。
3.向非好友索取礼物，可能造成诈骗，也可以广泛发布广告信息

索取礼物，选择一个已加好友，截包

其中userid可以任意修改，造成大面积攻击，返回true代表成功

后来得知，小伙伴Q果然收到礼物索要请求。这里可以造成礼物欺骗，广告大面积推送等等。
码字不易，狗哥求通过。。。