1

企业网站漏洞挖掘

我要开发同款
燕云校尉2023年06月11日
114阅读
所属分类安全运维、漏洞挖掘、渗透测试

作品详情

1、会员个人中心内存在CSRF漏洞,可在本地执行篡改会员个人信息
2、通过bp软件抓包修改包内数据,后构造POC到本地,在cookie有效期内本地执行POC可直接修改会员信息
3、经验证漏洞为cookie的SameSite属性为none,未作任何设置造成的,后将IIS中及web.config文件中的SameSite属性设为lax后,修复了此漏洞。
声明:本文仅代表作者观点,不代表本站立场。如果侵犯到您的合法权益,请联系我们删除侵权资源!如果遇到资源链接失效,请您通过评论或工单的方式通知管理员。未经允许,不得转载,本站所有资源文章禁止商业使用运营!
下载安装【程序员客栈】APP
实时对接需求、及时收发消息、丰富的开放项目需求、随时随地查看项目状态

评论