来源:自学PHP网 时间:2015-04-16 23:15 作者: 阅读:次
[导读] 利用CSRF绑定任意用户的有道云笔记并推送恶意信息,谁动了我的笔记?!!详细说明:有道云笔记提供绑定邮箱的功能,通过绑定邮箱可以向云笔记用户的笔记推送任意内容这边是个...
利用CSRF绑定任意用户的有道云笔记并推送恶意信息,谁动了我的笔记?!! 有道云笔记提供绑定邮箱的功能,通过绑定邮箱可以向云笔记用户的笔记推送任意内容
http://note.youdao.com/yws/mapi/bindemail?method=sendadd&email=攻击者邮箱地址
1.绑定被害者云笔记成功
修复方案:1.强化验证逻辑(向绑定邮箱发送验证码,要求用户返回云笔记页面输入验证码,方可绑定) |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com