WooYun.org

0x1:首先还是很感谢我的两位朋友:@ms @jason协助我测试该漏洞，没有你们就没有这次漏洞的真相。因为是第一次发csrf，所以务必还是得非常严谨。
0x2:问题出在w.sohu.com，http://wooyun.org/bugs/wooyun-2010-023668在之前我还给搜狐的朋友报了一个存储型xss，感觉还是很多问题的。这次则是出现在加关注的接口上。通过测试，发现加关注接口是通过get方式传输的。抓包得到如下数据:

GET /t2/addfollow.do?uid=1607100580&ru=.%2Fper.do%3Fkw%3Dwutongyu22%26tp%3D0%26cp%3D1&myid=1488501092 HTTP/1.1
Host: w.sohu.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:20.0) Gecko/20100101 Firefox/20.0
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

当然，这里头也没有加token。这样一来，我们就可以开始csrf了。
0x3:在测试的时候，出现了不少问题，可能也是因为第一次发csrf，没注意到这个细节。直到让朋友测试，一直返回url错误。后来反复研究数据包，问题出在myid上。。囧，后来通过替换myid，即可成功加关注。
0x4:利用过程，首先是没关注的：

因为我在我自己的网站已经构造好通过<img>方式引入了一个get加关注请求：
访问之后：

刷新看结果：

嗯，已经成功添加关注了:)
0x5:经过严密的测试（影响用户为登录w.sohu.com的所有用户+登录过w.sohu.com的t.sohu.com用户。主要还是w.sohu.com的手机用户）
0x6:上面的那个poc还是不完整，因为只能自己的帐号测试使用，那么如何使用这个csrf让你想关注的那人加你关注呢?只需要通过w.sohu.com这个跳板，给他发送私信，然后将myid更改成他的id,把自己的uid以及加自己关注的链接提取出来，就可以完整这次csrf攻击了:)
0x6:当然，还有更多隐秘的方式。。方法还有很多，不一一说了。