鲜果网某处CSRF漏洞，可能导致蠕虫蔓延，在未经用户同意的情况下发布文字、加关注等等!

　　详细说明：在接受POST和GET的信息的时候，未对POST来路(Referer)进行验证，同时也没有在POST的信息中加token验证信息的正确性，导致漏洞产生。

　　演示地址：http://in.imlonghao.com/WooYun-XXXXX/ (用户名/密码：imlonghao)

　　登录状态下访问，会自动发一条名为Hello World的微博，并会关注一个用户。

　　漏洞地址：http://xianguo.com/beings/follow

　　接口返回信息

　　效果

　　【发文字】

　　修复方案：

　　检查POST来路Referer

　　在POST的信息中加token