268香港空間

當前位置:首頁 ? 資料文檔 ? 正文

轉載分享:米酷影視CMS后臺CSRF漏洞的發現及建議。

5人參與 來自于 : 資源分享網    2019年11月14日   分類 : 資料文檔  點這評論

轉載分享:米酷影視CMS后臺CSRF漏洞的發現及建議。

 首頁 ?  技術教程 ?  2019年11月8日下午

A

一、漏洞摘要

漏洞名稱: MKCMS存在CSRF漏洞

上報日期: 2019-04-04

漏洞發現者: cisk

版本: V5.0

CVE編號: CVE-2019-11078

緊急解決方法:把ucenter目錄刪除,這樣會員功能失效。

二、漏洞概述

以米酷6.0為例:

此處為隱藏內容,請評論后查看隱藏內容,謝謝!



-------------------------------


post請求中沒有帶token,也沒有驗證Referer,導致產生csrf漏洞




三、利用方法

構造如下poc.html,并訪問poc.html;將修改lduo123賬號的密碼

此處為隱藏內容,請評論后查看隱藏內容,謝謝!

四、CSRF漏洞的危害及修復建議


利用CSRF漏洞,會對網站以及用戶有什么危害呢?

     1. 配合XSS漏洞可造成蠕蟲病毒攻擊。

     2. 可以更改用戶的密碼

     3. 更改(商城ecshop等開源程序)用戶收貨地址

  用戶所有可以在網站操作的,黑客都可以利用CSRF漏洞去操作。只需要構造PoC代碼,偽造請求

讓受害者點擊就可以執行漏洞。

    簡單點來說,B以A的身份執行了A可以執行的操作,當然,我們這里B是黑客,A是用戶。 

CSRF漏洞修復安全建議 

        通過token或者session來判斷當前用戶身份,檢查POST來路Referer,在POST的信息中加

        token機制。 

       用戶的一些敏感操作需要驗證碼,更改密碼需要驗證之前的老密碼。      

       驗證HTTP Referer字段      

       在請求地址中添加token并驗證

       在HTTP頭中自定義屬性并驗證

防御建議

1、增加驗證碼機制

2、增加一個隨機生成的參數token,后臺處理時進行驗證

268資源分享網 , 版權所有丨本站資源僅限于學習研究,嚴禁從事商業或者非法活動!丨,轉載請保留出處和鏈接!

本文鏈接:轉載分享:米酷影視CMS后臺CSRF漏洞的發現及建議。來自http://www.rmmdfc.live/pot/737.html

本文標簽:米酷影視CMS  

<< 上一篇 下一篇 >>

  • 評論(0)
  • 贊助本站

       

◎歡迎參與討論,請在這里發表您的看法、交流您的觀點。

相關文章

最新文章

資源分享網

網站分類

熱門標簽

支付寶掃碼領紅包

網站源碼 | 營銷軟件 | 最新電影 | 資料文檔 | 網站地圖

Copyright 268資源分享網

  • 陜ICP備17018001號
  • 云南快乐十分直选遗漏