一个CSRF的另类应用
1.首先登入乐视网,进入个人设置页面:
2.看到目前已经绑定了相关的QQ邮箱,点击更换我的邮箱:
3.设置好需要更换的邮箱后,点击发送,这是抓包将请求拦截,原来是一个GET请求
http://my.letv.com/my_setting.php?action=outemail&bingEmail=********@qq.com
漏洞 证明:4.将这个链接发送给指定的乐视网用户,对方只要点击了,我的邮箱就会收到绑定的邮件,当然更隐蔽的利用方式在乐视网的留言地方以<img>插入上述GET请求即可,只要有人看到就会中招:
5.我点击上述地址,成功更换邮箱!
6.然后就是通过密码找回,获取他人帐号信息了!
修复方案: 1.CSRF不设防啊!要注意检查全站哦!
2.在这个问题上和其他网站的区别是:别的网站对于已经绑定的邮箱,首先要先解绑!可通过发送解绑链接到原邮箱、或者通过绑定的手机进行解绑,但是这里什么都没有;
3.关键接口没有做用户验证,比如提示用户首先输入密码才可绑定邮箱或手机,哪怕设置一个图片验证码也可防止这种情况
查看更多关于乐视网xss可以获取身份信息CSRF也可以拿他人账号的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14116