edu黑龙江xx大学-CSRF漏洞
漏洞复现:
案例1:
缺陷1:登陆后更新修改密码,不需要传输旧密码就可以修改
缺陷2:虽然参数有token,但是删除后仍然可以修改,说明实际没有对token进行校验
删除了狐假虎威的token,发现这里的token参数并没有卵用
【可以修改密码处抓包,不需要输入旧密码,不需要token】
构造csrf的poc:
更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:1 金币
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-魔方 | 500.00 | 0 | 2024-03-11 20:08:46 | 深度 100 普适 200 可读 200 |
打赏我,让我更有动力~
登录后才可发表内容
返回:技术文章投稿区
实战纪实
小瑟斯
发表于 1个月前
666
评论列表
加载数据中...
lemontree
发表于 1个月前
6
评论列表
加载数据中...
ling_su_bai
发表于 23天前
csrf的神
评论列表
加载数据中...