小记一次被忽略的恶CSRF刷收藏漏洞
Posted 王少杰
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了小记一次被忽略的恶CSRF刷收藏漏洞相关的知识,希望对你有一定的参考价值。
1,随便找本书,然后打开CSRFTESTER |
2,抓到post包,可以看到没有token验证
3,生成poc
4,注册新账号,目前没有生成
5,打开poc
给力!
比如说在这个书城中,王少杰本人谢了一本书,可惜没有资金推广,于是恶意构造了POC生成了链接,通过在其它书籍下面的留言来吸引其它用户点击链接,从而在用户不知情的情况下中招,把王少杰出版的这本书收藏了,也就达成了恶意刷收藏这个效果~
可惜了,小米SRC把这个列为了无危害~
乌云也有类似的案例,大家有兴趣可以看一下
我是来凑原创字数的,谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢谢你的阅读,笔芯
以上是关于小记一次被忽略的恶CSRF刷收藏漏洞的主要内容,如果未能解决你的问题,请参考以下文章