关键漏洞信息 受影响产品 产品名称: School Fees Payment System V1.0 厂商主页: https://code-project.com/school-fees-payment-system-in-php-with-source-code/ 漏洞版本 受影响版本: V1.0 漏洞类型 类型: Cross-Site Request Forgery (CSRF) 根因 CSRF漏洞存在于School Fees Payment System V1.0中,系统处理学生费用支付时未进行有效的CSRF防护。 影响 攻击者可利用此漏洞执行非法操作,如修改账户信息、删除数据等,严重时可能导致系统崩溃或数据泄露。 描述 在“Take Fees”功能模块中发现了一个CSRF漏洞,攻击者可通过构造恶意请求,诱导用户在不知情的情况下执行敏感操作,如费用支付。结合社会工程学手段,该漏洞可能被用于大规模的欺诈和数据窃取。 漏洞细节与POC 漏洞位置: takefees.php Payload: 概念验证 通过源代码追踪,发现 参数直接用于处理CSRF场景,但缺乏有效的验证机制。 漏洞重现 登录系统并访问费用支付页面。 引入HTML标签注入恶意payload后,即使用户未登录,也能成功提交费用支付请求。