### 简要描述:
太阳底下
### 详细说明:
测试版本,最新的2.7.4 beta1 目测2.7.3所有版本也都没有token
没有新鲜事。翻了好几遍厂商漏洞列表,确实没看到有人提过。
备份数据库的功能。
[<img src="https://images.seebug.org/upload/201409/12165043dc4c45e779f1f4a1e23b313ee0fa5b75.jpg" alt="ecshop3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/12165043dc4c45e779f1f4a1e23b313ee0fa5b75.jpg)
请求如下:有一个token的字段,但是默认为空,服务端也没有检查该字段,直接为空就可以请求成功。
[<img src="https://images.seebug.org/upload/201409/12165100e2b5f78fc7c2c86df9cdd822018d5b46.jpg" alt="ecshop5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/12165100e2b5f78fc7c2c86df9cdd822018d5b46.jpg)
同样,厂商采用了使用referer的方式来防御csrf,只要为空就可以绕过。可以说是这种防御是没有效果的。
[<img src="https://images.seebug.org/upload/201409/1216512395b2ffac8b112678b30f43f0a0d4c351.jpg" alt="ecshop6.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/1216512395b2ffac8b112678b30f43f0a0d4c351.jpg)
构造好exp,管理员点击之后,在web目录下生成用户可控文件名的sql文件。可以直接下载。
[<img src="https://images.seebug.org/upload/201409/12165132317d0bba52af4eecb4d52bfbdda7da5e.jpg" alt="ecshop7.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/12165132317d0bba52af4eecb4d52bfbdda7da5e.jpg)
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201409/12165132317d0bba52af4eecb4d52bfbdda7da5e.jpg" alt="ecshop7.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201409/12165132317d0bba52af4eecb4d52bfbdda7da5e.jpg)
京公网安备 11010502034610号
暂无评论