起风网|
地址修改画面在保存时把userid修改成其他用户的ID后可以把地址保存到其他用户。 并且这个画面存在CSRF,可以批量把地址保存到其他的帐户里,虽然没什么意义,呵呵。 但做为一个安全问题,请修正。 地址修改画面: 用户188的手机登录,userid:2988294
用户156的手机登录,userid:2988309
用户156在修改地址时把userid改成188的用户的值
修改前
修改后
成功
用户188的手机登录确认,地址穿越了。。。
修复方案:保存时对userid进行验证,加上瞬时授权验证token。 |
-
上一篇: 东软UniEAP某jige通用漏洞打包 – 网站安全 – 自学
下一篇: 奇淫巧技绕过安全狗webshell查杀及修复建议 – 网站
评论前必须登录!
立即登录