频道栏目
首页 > 安全 > 网站安全 > 正文

微信公众平台CSRF可导致公众账号被劫持

2013-04-06 07:18:00            作者:pysolve
收藏   我要投稿
虽只是一个小csrf,但考虑到对业务产生的影响,可劫持公众账号群发推送,故自评等级为高,如有不妥请调低。

 

 

 

如图,绑定私人账号处,bind api没有采用任何token,故导致csrf。 

漏洞证明:为真实模拟攻击场景,用了一朋友的公众账号来测试,测试前并未向其说明为测试。

 

构造恶意page,引诱点击。

 

 

 

 

 

 

如图,已触发。此时用adminhelper或mphelper可用绑定账号向所有订阅用户群发推送。

 

 




 

上一篇:管家婆软件管理系统拿shell
下一篇:360SHOP官网任意账号重置(非暴力)
相关文章
图文推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站