QQ邮箱设置转发CSRF漏洞

简要描述:

QQ邮箱设置转发处虽然有Token限制,依然可以绕过,可以进行CSRF攻击.

详细说明:

只有SID的token,但sid是附在URL中的,如果向受害者邮箱发送带有一封有位于自己服务器上的图片的信件,可以利用referer来收集sid,进而进行进一步的攻击.

修复方案:

在邮箱设置出另加Token

http://www.wooyun.org/bugs/wooyun-2010-01447

发表评论?

0 条评论。

发表评论