WooYun.org

最新版本并不是3.0，但是下载最多的却是3.0，所以我选择测试3.0
如果xss配合这些csrf使用，效果肯定杠杠的，我也有3.0的xss漏洞，如果厂商忽略了我就留着自己用吧，这句话不是威胁，很平淡的一句话，大家都不要想多，既然你都认为不重要了，我何必还发出来呢？对吧？
废话不多说了
下面的csrf都是可以操控别人做任意事的
============================csdjcms多处csrf======================
可以任意让任何人关注我
点击进入一个人的主页里面，这里先进入Mosuan的主页
打开神器burp
点击关注

下面的图是抓来的数据包

Usera是被关注的人
Cs_id是uid，也就是关注usera的人
Cs_name就是关注被关注的人
下面我改包，usera不变，cs_id改成4，cs_name改成wooyun
发包后查看

下面回到我的个人中心查看我的粉丝，果断看到wooyun关注我

csrf之让任意人发任意内容的微博
下面是我用Mosuan这个id发微博抓来的包

Neir是发微博的内容
Cs_id是发微博人的id
Cs_name是发微博人的名字
上面是用Mosuan这个ID发微博，我改包成wooyun发微博

看这个图

Wooyun这个号确实发我想要的内容了。
留言处也有csrf
呵呵，去admin的主页给admin留个言吧

改成wooyun给admin留言吧

OK了，看到wooyun给admin留言我就放心了

上面不是get请求吗？
直接url不就行了吗？
经过测试在url上面输入不行，需要cookie
呵呵，再到首页给站长留个言吧、

留言这种好事都交给wooyun干吧。
直接改包成wooyun

再次看到wooyun给别人留言，而且是给站长，我真感动！！

平凡的wooyun给我很多感动，再次感谢wooyun，在wooyun学到很多东西，谢谢，