PHP代码审计-漏洞实战下
【摘要】 漏洞实战之CSRF漏洞CSRF漏洞CSRF漏洞./lvyecms/Application/Admin/Controller/ManagementController.class.php漏洞实战之任意文件写入漏洞任意文件写入StyeController.class.php漏洞实战之任意文件删除漏洞任意文件删除filesController.php漏洞实战之越权漏洞越权漏洞服务器端对客户提出的数...
漏洞实战之CSRF漏洞
CSRF漏洞
CSRF漏洞
./lvyecms/Application/Admin/Controller/ManagementController.class.php
漏洞实战之任意文件写入漏洞
任意文件写入
StyeController.class.php
漏洞实战之任意文件删除漏洞
任意文件删除
filesController.php
漏洞实战之越权漏洞
越权漏洞
服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操
作权限的判定,导致攻击账号拥有了其他账户的增删改查功能。
越权漏洞
/application/admin/controller/Index.php
修复方案
对某一数据进行增删改查时需要去校验下所操作的数据是否属于该用户。
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)