产品服务AMH 免费服务器主机面板SSL证书 免费SSL证书申请 担保单 免费安全、零费率交易平台编程助手免费智能写代码、翻译AMYSQL 免费MySQL管理工具

AMH 社区首页

 AMH社区 - 开放自由有价值的社区

[求助帖] 貌似有CSRF.....

imlonghao
铁牌会员
56.00 价值分

imlonghao 发表于 2013-05-26 13:36:17
比较蛋疼。。。

首先,管理员先登录过了AMH。

然后,引诱管理员访问一个地址.....

就可以通过CSRF来加host,加ftp等等。

貌似都没有去防范CSRF。
http://amysql:8888/index.php?m=host&g=stop


建议在每个操作的时候加上一个随机token~~
2013-05-26 13:36:17 1

Places
铝牌会员
479.00 价值分

:o 经典的跨站
不过目前来看,发生的几率还是比较小的,另外建议AMH面板改掉默认端口哦。
  支持 (0分)  反对 (0分)
回复  2013-05-26 16:51:20 2

amysql
创始人
99530.81 价值分

需要管理员先登录面板cookie不失效情况,需要知道面板地址与端口,需诱惑管理员访问某网站。
加token有作用,像DZ用formhash值+cookie。

#楼上
这不算是跨域吧,不同域也跨不了。改面板默认端口主意很好。 :)

也谢谢楼主建议,下一版本会增加这方面的防范。
  支持 (0分)  反对 (0分)
回复  2013-05-26 18:33:26 3

AMH面板 - 好用高效低占用、安全可靠极稳定

shylocker120
银牌会员
2676.29 价值分

关注下。
  支持 (0分)  反对 (0分)
回复  2013-05-28 23:05:24 4
 1  (总1页)
AMH社区列表
用户服务中心