Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

跨站点请求伪造 #7647

Open
rangaooracle opened this issue Dec 25, 2024 · 2 comments
Open

跨站点请求伪造 #7647

rangaooracle opened this issue Dec 25, 2024 · 2 comments

Comments

@rangaooracle
Copy link

版本号:

jeecg-boot2.4.5

问题描述:

漏洞扫描提示有个中危漏洞需要修复,关于跨站点请求伪造,可能会强制最终用户在当前其已通过身份验证的 Web 应用程序上执行不必要的操作。之所以出现此漏洞,是因为应用程序允许用户在不验证请求是否是有意发送的情况下执行某些敏感操作。
攻击者可能导致受害者的浏览器向应用程序中的任意 URL 发出 HTTP 请求。从经过认证的受害者的浏览器发送此请求时,它将
包括受害者的会话 Cookie 或认证标头。应用程序将接受此请求作为来自经过认证的用户的有效请求。
如果将 Web 服务器设计为接收来自客户端的请求,但缺乏用于验证该请求是否有意发送的机制,则攻击者可能会欺骗客户端从
另一个站点发出无意请求,而应用程序会将该请求视为可信请求。可以通过提交表单、加载图像、在 JavaScript 中发送
XMLHttpRequest 等执行此操作。
例如,此 IMG 标签可以嵌入到攻击者的网页中,并且受害者的浏览器将提交请求检索该图像。此有效请求将由应用程序处理,并
且浏览器不会显示损坏的图像。“”。由此带来的结果是,使用受害者的会话将受害者账户中的资金转移到攻击者的账户中。
固定值: 验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce

错误截图:

上传到附件了,如下所示,谢谢大佬支持
跨站点伪造

友情提示:

  • 未按格式要求发帖、描述过于简单的,会被直接删掉;
  • 描述问题请图文并茂,方便我们理解并快速定位问题;
  • 如果使用的不是master,请说明你使用的分支;
@zhangdaiscott
Copy link
Member

最新版应该已经修复了,老版本需要自己处理

@rangaooracle
Copy link
Author

rangaooracle commented Dec 25, 2024 via email

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Labels
None yet
Projects
None yet
Development

No branches or pull requests

2 participants