HTTPS
AMH 社区首页
AMH社区 - 开放自由有价值的社区
|
|
|---|---|
|
imlonghao |
imlonghao 发表于 2013-05-26 13:36:17
比较蛋疼。。。
首先,管理员先登录过了AMH。 然后,引诱管理员访问一个地址..... 就可以通过CSRF来加host,加ftp等等。 貌似都没有去防范CSRF。 http://amysql:8888/index.php?m=host&g=stop 建议在每个操作的时候加上一个随机token~~  点赞,加油! (0分)
2013-05-26 13:36:17 1
|
|
Places |
:o 经典的跨站
不过目前来看,发生的几率还是比较小的,另外建议AMH面板改掉默认端口哦。
回复
2013-05-26 16:51:20 2
|
|
amysql |
需要管理员先登录面板cookie不失效情况,需要知道面板地址与端口,需诱惑管理员访问某网站。
加token有作用,像DZ用formhash值+cookie。 #楼上 这不算是跨域吧,不同域也跨不了。改面板默认端口主意很好。 :) 也谢谢楼主建议,下一版本会增加这方面的防范。
回复
2013-05-26 18:33:26 3
AMH面板 - 好用高效低占用、安全可靠极稳定 |
|
shylocker120 |
关注下。
回复
2013-05-28 23:05:24 4
|
[求助帖]
貌似有CSRF.....
