百度某分站csrf漏洞可刷粉丝及修复下载

来源:黑吧安全网 浏览:1009次 时间:2014-04-30
做网站找雨过天晴工作室

加关注处请求没有做好防范
 一、百度旅游
 
假如要关注这个妹子
 
http://lvyou.baidu.com/user/47783f2e03e2d128a581731f
 

二、抓包

三、post提交

四、返回数据
 
 


修复方案:

判断refer来源,或者post和cookie中加token进行判定