漏洞概要
关注数(24)
关注此漏洞
漏洞标题:腾讯某新闻站存在csrf可强制评论
相关厂商:腾讯
提交时间:2015-09-06 11:42
修复时间:2015-09-06 15:17
公开时间:2015-09-06 15:17
漏洞类型:CSRF
危害等级:中
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2015-09-06: 细节已通知厂商并且等待厂商处理中
2015-09-06: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
如题,貌似修改参数可以通杀腾讯其他新闻站
详细说明:
域名http://coral.qq.com
下面评论区
抓包
连评论人的qq号都不验证- -,附post数据
有一个很像token的东西,但是并没有什么卵用。。
content的内容是评论的内容
漏洞证明附form表单
漏洞证明:
用html搞一个form表单
别人访问就会去评论。。。这是我见过最轻松的csrf
评论截图
感觉这些框框都一样,可能修改一些参数可以通杀腾讯各大新闻站
各位感兴趣去测试,明天开学,先睡了- -
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-09-06 15:17
厂商回复:
非常感谢您的报告,经评估该问题并不存在,故此忽略。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。
最新状态:
暂无
漏洞评价:
评论
-
2015-09-07 07:22 |
Rand0m ( 路人 | Rank:0 漏洞数:1 | 真的有一米八五。。)