利用CSRF绑定有道云笔记并推送恶意信息 - 网站安

利用CSRF绑定任意用户的有道云笔记并推送恶意信息，谁动了我的笔记？！！

有道云笔记提供绑定邮箱的功能，通过绑定邮箱可以向云笔记用户的笔记推送任意内容

这边是个POST请求，没有TOKEN，虽然这样稍显鸡肋，但是可以由GET请求发起，导致危害扩大

http://note.youdao.com/yws/mapi/bindemail?method=sendadd&email=攻击者邮箱地址

只要用户访问了上面的链接，就会向攻击者邮箱发送一封带有请求绑定攻击者邮箱链接的邮件，只要攻击者点击链接攻击者获得了向云笔记用户的笔记列表推送内容的权利

点击链接就可以绑定了

1.绑定被害者云笔记成功

2.推送广告内容（仅作演示）

修复方案：

1.强化验证逻辑（向绑定邮箱发送验证码，要求用户返回云笔记页面输入验证码，方可绑定） 2.只允许POST请求发起，加TOKEN

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did15161

更新时间：2022-09-13 阅读：52次