edu黑龙江xx大学-CSRF漏洞

zbs   ·   发表于 2024-03-11 14:04:41   ·   实战纪实

漏洞复现:

案例1:



缺陷1:登陆后更新修改密码,不需要传输旧密码就可以修改

缺陷2:虽然参数有token,但是删除后仍然可以修改,说明实际没有对token进行校验



删除了狐假虎威的token,发现这里的token参数并没有卵用

【可以修改密码处抓包,不需要输入旧密码,不需要token】

构造csrf的poc:

更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:1 金币
用户名金币积分时间理由
Track-魔方 500.00 0 2024-03-11 20:08:46 深度 100 普适 200 可读 200

打赏我,让我更有动力~

4 条回复   |  直到 6天前 | 512 次浏览

小瑟斯
发表于 9个月前

666

评论列表

  • 加载数据中...

编写评论内容

lemontree
发表于 9个月前

6

评论列表

  • 加载数据中...

编写评论内容

ling_su_bai
发表于 8个月前

csrf的神

评论列表

  • 加载数据中...

编写评论内容

1354261986
发表于 6天前

1

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.