豆瓣API V2 给开发者提供了操作豆瓣账户的接口,虽然要进行oauth2.0认证。但是某些接口,只要是登录状态,不需要认证也可以使用。

其中广播接口由于服务端限制不严的问题,导致存在了csrf漏洞,可以控制豆瓣登陆账号发送任意广播。

豆瓣API 2.0接口CSRF

开发文档里描述的是只允许POST,但是实际测试发现GET方式可以直接发送广播,而且对于已经登录豆瓣的用户,也不需要oauth认证。


豆瓣API 2.0接口CSRF


豆瓣API 2.0接口CSRF

除了发送文本外 还可以推荐网址、推送等等。