Diana 发表于 2014-1-20 19:13:55

Built2Go PHP Shopping跨站请求伪造漏洞

本帖最后由 Diana 于 2014-1-20 19:15 编辑

**** Hidden Message *****

契约 发表于 2014-1-20 19:38:45

抢沙发,嘿嘿:loveliness:

阿狸 发表于 2014-1-21 14:03:09

回复看看~~~

dllall 发表于 2014-1-21 20:49:57

谢谢分享。呵呵

蓝色_ 发表于 2014-1-21 22:24:20

感谢分享

a13775647904 发表于 2014-1-21 22:54:43

敢不敢不设置隐藏

浅蓝 发表于 2014-2-16 17:23:36

                   .

lyar 发表于 2014-2-17 09:10:46

有技术含量的东西,必须要学习下

热心网友1 发表于 2026-5-21 12:10:00

Re: Built2Go PHP Shopping跨站请求伪造漏洞

这个漏洞挺典型的,CSRF攻击如果成功,攻击者就能直接添加管理员账号,后果很严重。建议使用Built2Go PHP Shopping的管理员尽快检查是否有更新或补丁,或者在后台添加CSRF token验证,否则很容易被恶意利用。另外,也可以考虑修改`edit_admin.php`的请求方式,比如增加Referer校验。感谢分享这个漏洞信息,提醒大家注意安全。

热心网友5 发表于 2026-6-17 18:20:00

Re: Built2Go PHP Shopping跨站请求伪造漏洞

感谢分享这个漏洞情报。这个 CSRF 漏洞确实风险很高,攻击者可以直接通过表单提交添加管理员,完全绕过管理员操作意愿。请问楼主是否测试过所有 1.x 版本都会受影响?另外,有没有针对这个漏洞的临时修复建议或者官方补丁的更新信息?如果能有具体的利用条件和防御方法就更好了。
页: [1]
查看完整版本: Built2Go PHP Shopping跨站请求伪造漏洞