案例1:
缺陷1:登陆后更新修改密码,不需要传输旧密码就可以修改
缺陷2:虽然参数有token,但是删除后仍然可以修改,说明实际没有对token进行校验
删除了狐假虎威的token,发现这里的token参数并没有卵用
【可以修改密码处抓包,不需要输入旧密码,不需要token】
构造csrf的poc:
更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:1 金币
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
Track-魔方 | 500.00 | 0 | 2024-03-11 20:08:46 | 深度 100 普适 200 可读 200 |
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
小瑟斯
发表于 9个月前
666
评论列表
加载数据中...
lemontree
发表于 9个月前
6
评论列表
加载数据中...
ling_su_bai
发表于 8个月前
csrf的神
评论列表
加载数据中...
1354261986
发表于 6天前
1
评论列表
加载数据中...