Easytalk 最新版两处CSRF

简要描述： Easytalk 最新版两处CSRF 详细说明： 本地建立三个号test1，test2，test3 test3为被攻击者的帐号 0x1 添加收听处存在CSRF，可以刷粉丝，看证明 登陆test2，收听test1，发现链接是这样的 http://localhost/easytalk/?m=friends&a=addfollow&userid=11&rand=2105 很明显userid是test1的id，后面有随机数rand，不过后面证明是无用的 用test2发布一条信息，包含上面的链接 登陆屌丝帐号test3，在广场看到此等内容必然点一下 结果是这样的 再然后就发现直接收听了...