GET就能发微博啊!!!!!微博还通过抓包插入csrf图片啊!!!看到微博不用点击就会自动蠕虫啊!!!!! 详细说明:漏洞存在于微活动转发处,本来是一个POST请求的,但是GET方式也可,所以危害瞬间提高了一个等级啊。
http://t.sohu测试数据/gy/twitter/support?msg=csrf%20by%20vip&wgyId=5313
另外,本来发图片处是只能上传图片的,但是,可以通过抓包修改,加载上面的地址,看到微博即会自动蠕动。
首先,上传一张任意图片。
然后,Fiddler抓包,把地址改成上面的。
成功了有木有!!!
这样就一传十十传百了啊有木有!!!
PS:为了防止造成危害,相关测试微博已删除。
修复方案: 重要的操作一定要用POST啊!!!一定要有token啊!!!一定要验证referer啊!!!
查看更多关于搜狐微博某高危GET型csrf可引发蠕虫 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15030