268香港空间

当前位置:首页 » 资料文档 » 正文

转载分享:米酷影视CMS后台CSRF漏洞的发现及建议。

13人参与 来自于 : 资源分享网    2019年11月14日   分类 : 资料文档  点这评论

转载分享:米酷影视CMS后台CSRF漏洞的发现及建议。

 首页 »  技术教程 »  2019年11月8日下午

A

一、漏洞摘要

漏洞名称: MKCMS存在CSRF漏洞

上报日期: 2019-04-04

漏洞发现者: cisk

版本: V5.0

CVE编号: CVE-2019-11078

紧急解决方法:把ucenter目录删除,这样会员功能失效。

二、漏洞概述

以米酷6.0为例:

此处为隐藏内容,请评论后查看隐藏内容,谢谢!



-------------------------------


post请求中没有带token,也没有验证Referer,导致产生csrf漏洞




三、利用方法

构造如下poc.html,并访问poc.html;将修改lduo123账号的密码

此处为隐藏内容,请评论后查看隐藏内容,谢谢!

四、CSRF漏洞的危害及修复建议


利用CSRF漏洞,会对网站以及用户有什么危害呢?

     1. 配合XSS漏洞可造成蠕虫病毒攻击。

     2. 可以更改用户的密码

     3. 更改(商城ecshop等开源程序)用户收货地址

  用户所有可以在网站操作的,黑客都可以利用CSRF漏洞去操作。只需要构造PoC代码,伪造请求

让受害者点击就可以执行漏洞。

    简单点来说,B以A的身份执行了A可以执行的操作,当然,我们这里B是黑客,A是用户。 

CSRF漏洞修复安全建议 

        通过token或者session来判断当前用户身份,检查POST来路Referer,在POST的信息中加

        token机制。 

       用户的一些敏感操作需要验证码,更改密码需要验证之前的老密码。      

       验证HTTP Referer字段      

       在请求地址中添加token并验证

       在HTTP头中自定义属性并验证

防御建议

1、增加验证码机制

2、增加一个随机生成的参数token,后台处理时进行验证

268资源分享网 , 版权所有丨本站资源仅限于学习研究,严禁从事商业或者非法活动!丨,转载请保留出处和链接!

本文链接:转载分享:米酷影视CMS后台CSRF漏洞的发现及建议。来自http://www.268zy.com/pot/737.html

本文标签:米酷影视CMS  

<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

       

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

相关文章

最新文章

资源分享网

网站分类

热门标签

支付宝扫码领红包

网站源码 | 营销软件 | 最新电影 | 资料文档 | 网站地图

Copyright 268资源分享网

  • 陕ICP备17018001号