Mahara跨站指令碼和跨站請求偽造漏洞及修復

2021-12-29 22:11:38 字數 606 閱讀 3745

影響版本:

mahara mahara 1.3.3

mahara mahara 1.2.5

mahara mahara 1.2.4

mahara mahara 1.2.3

mahara mahara 1.3.2

mahara mahara 1.3.1

mahara mahara 1.3.0

mahara mahara 1.2.6

mahara mahara 1.2.5

mahara mahara 1.2.2

mahara mahara 1.2.1

mahara mahara 1.2.0

漏洞描述:

mahara是一款開源的電子資料夾,網路日誌,履歷表生成器和社會化網路系統。

mahara存在多個輸入驗證錯誤,攻擊者可以利用漏洞獲得敏感資訊或劫持目標使用者會話。

-應用程式存在跨站請求偽造漏洞,攻擊者可以構建惡意鏈結,誘使管理員訪問,刪除部落格日誌。

-通過pieform選擇框選項傳遞的輸入在顯示給使用者之前缺少正確過濾,可被利用注入任意html和指令碼**,導致惡意資料檢視時在目標使用者瀏覽器上執行惡意**。

*>

廠商解決方案

跨站請求偽造

跨站請求偽造 英語 cross site request forgery 是一種挾制使用者在當前已登入的web應用程式上執行非本意的操作的攻擊方法。跟跨 指令碼 xss 相比,xss利用的是使用者對指定 的信任,csrf 利用的是 對使用者網頁瀏覽器的信任。防止方法 1,利用referer判斷,但是...

csrf跨站請求

前提 在之前的訪問瀏覽器,我們都是將setting裡的中介軟體中的csrf給注釋掉,不然會無法訪問網頁 csrf的作用 csrf跨站請求偽造校驗 在給使用者返回乙個具有提交資料功能頁面的時候會給這個頁面加乙個唯一標識 當這個頁面朝後端傳送post請求的時候 我的後端會先校驗唯一標識,如果唯一標識不對...

modelform跨站請求

csrf 跨站請求偽造 1 ajax 5 6 7ajax 14 jquery操作cookie,檔案位址 同源機制 123 簡單請求和複雜請求 4簡單請求 5 1 請求方法是以下三種方法之一 也就是說如果你的請求方法是什麼put delete等肯定是非簡單請求 6head 7get 8post 9 2...