网站地图    收藏   

主页 > 后端 > 网站安全 >

乐视网xss可以获取身份信息CSRF也可以拿他人账号

来源:自学PHP网    时间:2015-04-17 11:59 作者: 阅读:

[导读] 一个CSRF的另类应用1.首先登入乐视网,进入个人设置页面:2.看到目前已经绑定了相关的QQ邮箱,点击更换我的邮箱:3.设置好需要更换的邮箱后,点击发送,这是抓包将请求拦截,原来...

一个CSRF的另类应用

1.首先登入乐视网,进入个人设置页面:
 
2.看到目前已经绑定了相关的QQ邮箱,点击更换我的邮箱:
 
3.设置好需要更换的邮箱后,点击发送,这是抓包将请求拦截,原来是一个GET请求
http://my.letv.com/my_setting.php?action=outemail&bingEmail=********@qq.com
漏洞证明:4.将这个链接发送给指定的乐视网用户,对方只要点击了,我的邮箱就会收到绑定的邮件,当然更隐蔽的利用方式在乐视网的留言地方以<img>插入上述GET请求即可,只要有人看到就会中招:
 




 
 
 
5.我点击上述地址,成功更换邮箱!
 
6.然后就是通过密码找回,获取他人帐号信息了! 
 
修复方案:

1.CSRF不设防啊!要注意检查全站哦!
2.在这个问题上和其他网站的区别是:别的网站对于已经绑定的邮箱,首先要先解绑!可通过发送解绑链接到原邮箱、或者通过绑定的手机进行解绑,但是这里什么都没有;
3.关键接口没有做用户验证,比如提示用户首先输入密码才可绑定邮箱或手机,哪怕设置一个图片验证码也可防止这种情况
 

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论