上图用awvs扫的,23个高危跨站攻击漏洞,看着吓人。后来查是不是因为系统中csrfValidation设置的问题导致的?
说论点的同时带上论据,一次性把漏洞的log贴出来
如果贴费劲,你可以导出来,发我邮箱,2358269014@qq.com
或者直接加我q: 2358269014
没有吓人不吓人的,发现了,发出来解决掉就好
想安装一下avws,这个软件是付费了,一年好像2万左右,找了几个破解安装包,都有病毒
麻烦有时间将你检测的漏洞报告发我一下,处理一下。
网站的xss漏洞,在半年前已经全部修复
网站的csrf的问题,的确存在,月底发新版本的时候将csrf 部分弥补上
csrf漏洞,一般都是通过诱导点击来实现,譬如给你发了封邮件,里面有一个删除customer address的操作, 而此时你的网站账户登陆了账户,那么就会将你的地址删除了,或者配置xss漏洞等
对小站来说基本没有影响,因为csrf的漏洞,是需要其他的方式来触发这个操作。
近期会检查一遍csrf的各个漏洞给予修复,下一个版本将全部修复csrf问题
这些软件很多存在误报,今天用软件审计了一下代码:
基本都是误报,感觉是找出来可能存在问题的代码处,让你重新检查一下
地址: https://osc.codesafe.cn/auditpage.html#/5759f641b2b23c559c1b90d3e01eb01ac04c87fbc30cb310f744541b875468c9/f4f1883b78694f9d991535bc0d318329
