问题站点k.autohome测试数据.cn
1.注册两个用户,各发表一篇某车型的使用口碑帖子;
2.首先我们尝试在第二个用户登录的情况下,修改第一个用户的帖子,我们发现修改帖子请求如下;
3.如果我们直接访问的话, 系统 会提示口碑不存在;
4.于是我们修改第二个用户的帖子信息如下;
5.点击提交并抓包,修改id信息为第一个用户的帖子id;
6.提交后系统提示我们修改成功了;
7.我们返回页面刷新,发现第一个用户的帖子信息被成功修改;
PS:这里未校验referer,也可通过csrf发布帖子!
---------------------------------------------------------------------------
CSRF问题:
系统收听某人和给某人发消息都是post请求,但这里对接口校验不严格导致可使用get方式提交请求,再合适的场景下可能诱发蠕虫;
给某人发送消息:
修复方案:
在请求的每个阶段都严格校验用户身份;
严格校验敏感操作接口;
敏感操作处严格校验referer;
查看更多关于汽车之家漏洞系列-越权修改用户数据 - 网站安全的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did15045