我是如何刷网易微博粉丝的 - 网站安全 - 自学p

1.今天用了网易微博，虽然功能少点但也很nice嘛！想不到我封存了5年的网易账号还在，密码也没被盗！恩，不扯了，是一个加关注的接口存在问题呢！look：

http://t.163测试数据/share/follow?followfrom=op.wz.gfo&keyfrom=op.wz.gfo&sitechannel=no&method=follow&screenName=【微博ID】

 

话说我也不知道从哪里找到的了，当时也忘记了截图！

 

2.这个GET方式的加关注请求，没有防范CSRF哦，所以导致登录了网易通行证的童鞋只要访问了上述链接就会关注指定的人呢！下面我截图说下简单的利用方式吧，首先将链接直接发布在网易微博首页，并且艾特任何人，越多越好，当然配上文艺型的文字效果更好哦，由于是测试，我就不这么花哨了：

 

生成短链接如下：

 

3.使用IE浏览器登录另一个新申请的账号：

 

找到刚才风萧萧吸童鞋准备好的链接，点击即可，返回如下：

 

当然效果也有了：

 

4.其实不用这么麻烦，该接口没有对CSRF做任何的防范，直接点击访问就会中招！但是我为了说明这种GET方式的请求，即使验证了referer，也无济于事。后面的 漏洞 会精彩的如果有续集的话！

修复方案：

1.关键请求还是改成post比较好！

2.关键请求还是加token比较好！

 

 

 

查看更多关于我是如何刷网易微博粉丝的 - 网站安全 - 自学p的详细内容...