QQ邮箱设置转发处虽然有Token限制,依然可以绕过,可以进行CSRF攻击.
只有SID的token,但sid是附在URL中的,如果向受害者邮箱发送带有一封有位于自己服务器上的图片的信件,可以利用referer来收集sid,进而进行进一步的攻击.
在邮箱设置出另加Token
http://www.wooyun.org/bugs/wooyun-2010-01447
要发表评论,您必须先登录。
0 条评论。