PHP-代码审计-CSRF
生活随笔
收集整理的這篇文章主要介紹了
PHP-代码审计-CSRF
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
挖掘經驗
黑盒挖掘
- 抓包看看有沒有token,如果沒有token的話,再請求該頁面,不帶referer,如果返回數據還是一樣很可能就存在csrf漏洞
白盒挖掘
- 讀代碼的時候,看看幾個核心文件有沒有驗證token和referer相關的代碼,這里的核心文件指的是被大量文件引用的基礎文件,或者直接搜token這個關鍵字找,如果核心文件沒有,再去看看你關心的功能點的代碼有沒有驗證
漏洞防范
- 添加token驗證
總結
以上是生活随笔為你收集整理的PHP-代码审计-CSRF的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: PHP-代码审计-XSS
- 下一篇: PHP-代码审计-文件包含