115存在记事本功能,记事本有删除功能,删除功能可能没有加上验证用户的函数导致了恶意人的利用。 http://115.com/note/?ac=note&op=del 数据包 nid=xx true为成功,false呢就是记事本不存在- - 删了100,再删就不存在所以false了。。 记事本CSRF多多添加,各种 请妥善处理。 修复方案: 删除功能可能没有加上验证用户的函数或者没有加上验证用户的封装类,加上吧!
查看更多关于115一个越权操作 - 网站安全 - 自学php的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did13742