开源中国 2018 年度最后一场技术盛会邀你来约~错过就要等明年啦!点此立即预约

DuxPHP / DuxCMS3PHPZlib

Watch 81 Star 161 Fork 64

duxcms内容管理系统 v2.0 XSS漏洞+CSRF漏洞

待办的
Kacker  创建于

不知道漏洞影响还是准确性怎么样...我还是来提交了 这里的2.0版本是我百度下载的 无 我用本地搭建了一个 问题出现在留言板 后台留言查看无过滤 导致XSS漏洞 无 无 管理员查看留言板 XSS漏洞被成功触发 无 还可利用XSS盗取后台管理员cookie 这里就不演示了。。 CSRF漏洞: 漏洞形成原因主要是因为修改后台管理员处无验证码限制也无token 后台修改管理员处 无 抓个包 生成CSRF POC 发现并无token 无 生成的POC如下: 无 发给网站后台管理员 诱使其打开 我这测试了一下 cookie可以保存挺长时间的 当cookie还在的情况下 管理员点击生成的POC 导致CSRF漏洞触发 后台管理员账号密码被修改 无 漏洞修复:添加个验证码 后台留言板查看过滤XSS参数 还有 进入后台后 发现后台可设置上传文件类型 导致后缀为PHP的木马可被黑客上传。

401947_123lucky 共2人参与

评论 (1)

401947_123lucky
LuckyRow 2017-07-12 09:27

这个是TP版本吧,好像都没有维护了。

登录 后才可以发表评论

负责人
标签
未设置
里程碑
关联分支
开始时间
未设置
结束时间
未设置
置顶选项
优先级

搜索帮助