PbootCMS csrf

最新推荐文章于 2024-05-06 21:10:57 发布
最新推荐文章于 2024-05-06 21:10:57 发布
阅读量6.8k 收藏
点赞数 1
分类专栏: vul 文章标签: vul
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangfan0502/article/details/86189065
版权

PbootCMS csrf

我将网站建立在本地,本来想测试添加用户的操作,但是发现这里有formcheck验证,所以失败了
I built the site locally and wanted to test adding users, but found that there was form check validation, so it failed.
在这里插入图片描述
然后我想到了删除用户位置,首先我使用管理员账号登陆,在删除用户的操作时抓包。发现很简单。只有一个id来判断删除哪个用户。
Then I thought about deleting user location. First, I logged in with the administrator’s account and grabbed the package when deleting the user’s operation. The discovery is simple. There is only one ID to determine which user to delete.
在这里插入图片描述
于是我直接构造一个新的url,http://127.0.0.1/cve/p/admin.php/User/del/ucode/10004(上面是10003)
确认这个用户是存在的。然后访问http://127.0.0.1/cve/p/admin.php/User/del/ucode/10004
So I constructed a new URL directly, http://127.0.0.1/cve/p/admin.php/User/del/ucode/10004 (above is 10003).
Confirm that the user exists. Then i click http://127.0.0.1/cve/p/admin.php/User/del/ucode/10004.
在这里插入图片描述
删除成功
Delete successful
在这里插入图片描述
但是这样很容易被熟悉的管理员识别,我们可以利用段网站来进行攻击。
短网址生成网站https://www.ft12.com/
http://127.0.0.1/cve/p/admin.php/User/del/ucode/10004可以缩短为http://u6.gg/gPCcN
访问这个短网址,也可以变为http://127.0.0.1/cve/p/admin.php/User/del/ucode/10004触发漏洞。

But this is easy to identify by experienced administrators, and we can use segment sites to attack.
Short Web Site Generation https://www.ft12.com/
Http://127.0.0.1/cve/p/admin.php/User/del/ucode/10004 can be shortened to http://u6.gg/gPCcN.
Visiting this short web site can also become http://127.0.0.1/cve/p/admin.php/User/del/ucode/10004 to make a attack.
在这里插入图片描述

kris0502
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pbootcms模板,pbootcms模板程序,pboot响应式模板
xiaomaseo的博客
03-28 2511
pbootcms模板,PbootCMS是全新内核且永久开源免费的PHP网站开发建设管理系统,是一套高效、简洁、 强悍的免费的PHP CMS源码,能够满足各类企业网站开发建设的需要。pbootcms模板采用的是响应式设计,数据即时同步,简单容易上手。pbootcms模板的前端规范:html+css+jQuery,支持PC端+手机端,pbootcms模板的程序运行环境:linux+nginx/ linux+apache / windows + iis(支持php5.3+) / 其他支持php5.3+环境。
IT网络建站公司pbootcms模板
tutujunjun的博客
05-14 158
Nginx环境,请打开nginx.txt文件,把里面的代码复制到配置中,下面我们以宝塔为例,伪静态规则的文件在rewrite 文件夹。程序运行环境:linux+nginx/ linux+apache / windows + iis(支持php5.3+) / 其他支持php5.3+环境。1、上传到自己的主机,输入域名打开,会出现授权的页面,直接到pbootcms的官网进行授权(免费)。友好的seo,所有页面均都能完全自定义标题/关键词描述,PHP程序,安全、稳定、快速。6、模板路径:有些文字在模板上修改。
2024年网络安全最全pbootcms网站实战攻略_pbootcms 乘法(2),2024年最新做了三年网络安全
最新发布
m0_60691292的博客
05-06 838
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
PbootCMS模板插件,PbootCMS建站插件,网站管理插件
denzel1234的博客
03-25 2149
PbootCMS模板插件建站是一个和其他CMS建站一样的操作,通过我们的宝塔面板,按照网上的视频操作就可以很快速的完成PbootCMS模板插件建站。建站之前我们需要完成一些准备。比如我们网站的定位,网站的tdk,网站的域名、PbootCMS模板插件和服务器。 建站之后的网站内容管理,我们可以通过PbootCMS模板插件采集、PbootCMS模板插件发布、PbootCMS模板插件伪原创完成文章的聚合和网站内容管理,实现建站、内容管理和网站推送全过程的管理。 PbootCMS模板插...
pbootcms模板标签
CMDGY01的博客
06-08 2428
order=* 排序方式,非必填,用于输出内容的排序方式,可选:date、sorting、istop、isrecommend、isheadline、visits、likes、oppose、等字段,其中sorting为按后台填写的排序,122版本开始支持自定义模式,如:order='date desc,id desc' 、order='sorting desc,id desc',(V1.3.7+)还支持random随机排序。注意:从V3.2.0开始,if标签仅支持'>'、'>='、'!
响应式pbootcms模板建筑装饰类网站
网站模板下载(www.91084.com)
08-08 197
按照正常的织梦安装步骤来安装还原就可以用了,从后台重新点击保存下系统基本参数。1.一款利于SEO的模板,手工CSS+DIV,图片ALT,H系列标签已合理运用。完美兼容IE7+、Firefox、Chrome、360浏览器等;这款模板使用范围极广,不仅仅局限于一类型的企业,你只需要把图片和产品内容;织梦内核开发的模板,该模板属于企业通用、建筑装饰类企业都可使用,响应式自适应设计,同一个后台,数据即时同步,简单适用!换成你的,颜色都可以修改,改完让你耳目一新的感觉!页面简洁简单,容易管理,附带测试数据!...
PBOOTCMS微信一键登录
11-17
- 验证回调URL:接收到微信重定向时,应验证URL中的code和state参数,防止CSRF攻击。 - 存储token的时效性:access_token有有效期,需要定期刷新,或在失效时引导用户重新授权。 - 用户隐私保护:在获取用户信息后,...
CSRF demo代码
02-04
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器中,利用用户的已登录身份执行非预期的操作。这个“CSRF demo代码”可能是一个示例,用于演示如何实施或防范...
csrf绕过Referer技巧-01
09-15
CSRF绕过Referer技巧详解 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击方式,攻击者可以通过构造恶意页面诱骗用户执行非法操作。为了防御CSRF攻击,Web开发者通常会使用Referer头来判断...
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),中文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。...
9、CSRF原理.pdf
10-15
CSRF攻击原理 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web攻击类型,它利用用户对网站的信任,通过欺骗用户浏览器,执行非法操作。以下是CSRF攻击的原理和防御方法: CSRF攻击原理 1. 用户...
PbootCMS.zip
01-08
PbootCMS是全新内核的开源企业建站系统, 系统以高效、简洁、强悍为开发目标,能够满足各类企业网站建设的需要。 系统采用高效、简洁的模板标签,只要懂HTML就可快速开发企业网站。 系统采用PHP语言开发,使用自主研发的高速MVVM多层开发框架及多级缓存技术。 系统默认采用Sqlite轻型数据库,放入PHP空间即可直接使用,可选Mysql、Pgsql等数据库,满足各类存储需求。系统采用响应式管理后台,满足各类设备随时管理的需要。 功能简介: 1、支持自定义模板 2、支持站点信息后台配置 3、支持无限极栏目 4、支持自定义内容模型 5、支持自定义内容字段 6、支持专题单页内容 7、支持列表内容管理 8、支持内容复制移动 9、支持自定义栏目地址 10、支持自定义内容地址 11、支持多语言区域建站 12、支持手机独立模板 13、支持手机版域名绑定 14、支持首页分页 15、支持页面SEO优化 16、支持在线留言 17、支持幻N组灯片轮播 18、支持友情链接 19、支持自定义表单 20、支持多条件筛选 21、支持多条件搜索 22、支持验证码开关 23、支持留言发送到多邮箱 24、支持API对接 25、支持小程序/APP开发 26、支持Ajax远程获取数据 27、支持自定义标签 28、支持全站伪静态 29、支持前端动态缓存 30、支持系统角色管理 31、支持完整角色权限管理 32、支持多用户在线管理 33、支持系统日志功能 34、支持数据库在线管理 系统安装: 发布的源码默认采用Sqlite数据库,放入PHP(大于等于5.3)空间即可直接使用。 如果需要启用Mysql版本,请导入目录下数据库文件\static\backup\sql\xxx.sql,同时请注意使用最新日期名字的脚本文件,并修改config/database数据库连接文件信息。 注意:如果导入的数据库名字不一致,请先修改sql文件中数据库名为自己的。 系统后台默认访问路径:http://ip/admin.php 账号:admin 密码:123456, 最近更新记录: PbootCMS V2.0.3 1、修复一处PHP7环境下的安全漏洞; 2、新增关闭留言、表单功能的开关; 3、新增缩略图未上传时自动获取文章图片; 4、其他问题修复与优化。
PbootCMS 1.3.8.zip
05-23
PbootCMS是一款高效、简洁、强悍的开源PHP企业网站开发建设管理系统。PbootCMS 1.3.8 更新日志:2019-04-121.新增同时支持fsockopen及stream_socket_client发送邮件;2.优化邮件发送失败错误提示信息;3.新增手机版绑定域名后自动跳转到对应域名地址上;4.修改会话文件默认为使用系统环境缓存路径;5.修复mysqli配置文件读取端口不一致问题;6.修复tags为空时仍然会输出代码字符问题;7.修复开启缓存功能后异样地址会导致文件产生问题;8.修复编辑器在PHP7下多图上传名字重复问题;9.修复编辑器多图上传位置错乱问题。
响应式pbootcms模板潜水游泳类网站
08-29 81
程序运行环境:linux+nginx/ linux+apache / windows + iis(支持php7X)所有页面均都能完全自定义标题/关键词/描述,PHP程序,安全、稳定、快速;3、SEO框架布局,栏目及文章页均可独立设置标题/关键词/描述。5、后台直接修改联系方式、传真、邮箱、地址等,修改更加方便。4、附带测试数据、安装教程、入门教程、安全及备份教程。1、手工书写DIV+CSS、代码精简无冗余。2、自适应结构,全球先进技术,高端视觉体验。前端规范:html+css+jQuery。...
PbootCMS开启后台菜单配置
三丰的博客
11-02 2407
PbootCMS的后台菜单默认是关闭显示的,如果我们需要在系统后台新增一些链接配置或者隐藏一些配置可以通过以下两种方式进行修改。修改数据库表ay_menu里的字段,把红色框位置数字从0改成1,0不显示,1是显示.修改后重新登录后台即可。管理员登录后台,新打开一个页面,手动访问这个链接(
PbootCMS后台菜单如何开启
a9490489的博客
03-15 898
第一种:直接后台链接操作 超级管理后台登录后台,手动访问这个链接(你的后台登录地址/Menu/index)打开菜单列表,找到系统管理-系统菜单点击状态启用,接着去重新登录后即可。 注意:截图里用的是默认后台登录地址域名/admin.php,根据实际情况输入。 下图位置启用系统菜单 第二种:通过修改数据库 修改数据库表ay_menu里的字段,如图把双红色框位置数字改成1,默认是0不显示,修改后重新登录后台即可。 开启后的效果截图: ...
PbootCMS后台菜单若何开启
a9490489的博客
09-08 501
超级管理后台登录后台,手动访问这个链接(http://您的域名/admin.php?p=/Menu/index)打开菜单列表,找到系统管理-系统菜单点击状态启用,接着去重新登录后即可。修改数据库表ay_menu里的字段,如图把双红色框位置数字改成1,默认是0不显示,修改后重新登录后台即可。注意:截图里用的是默认后台登录地址域名/admin.php,根据实际情况输入。第一种:直接后台链接操作。第二种:通过修改数据库。下图位置启用系统菜单。
PbootCMS V2.0.9 CSRF
weixin_38492599的博客
05-19 774
PbootCMS V2.0.9 CSRF 我将网站建立在本地,本来想测试添加用户的操作,但是发现这里有formcheck验证,所以失败了 I built the site locally and wanted to test adding users, but found that there was form check validation, so it failed. 然后我想到了删除用户位置,首先我使用管理员账号登陆,在删除用户的操作时抓包。发现很简单。只有一个id来判断删除哪个用户。 Then
安装配置PBootCMS详细过程
热门推荐
丁丁丁梦涛的博客
12-09 1万+
[@TOP] 安装配置PBootCMS详细过程 1.下载 PBootCMSgithub下载最新版本的源代码到服务器 进入服务器存放项目的目录(目录可以随意,nginx指定root的对应目录就是这个)cd /home/www/ git clone git@github.com:hnaoyun/PbootCMS.git 2.配置 配置阿里云域名解析 配置nginx lnmp环境搭建这里不做...
CSRF课程.pdf
01-25
CSRF(Cross Site Request Forgery) 是一种网络安全漏洞,攻击者利用用户已登录的身份在不知情的情况下执行非本意的操作。CSRF课程.pdf是一门专门讲解CSRF基础知识、攻击原理和防御方法的课程。课程内容主要包括CSRF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值