漏洞总结:WWBN/Avideo 缺少 CSRF 保护 漏洞概述 在 端点中存在缺失的 CSRF(跨站请求伪造)保护。该端点用于删除评论,但未执行 CSRF 验证(如 调用、Token 验证或 Origin/Referer 检查)。 由于 Avideo 项目有意禁用了 SameSite cookie 策略以支持跨域嵌入播放器,导致所有状态变更端点必须自行防御 CSRF。该端点遗漏了此防御机制,攻击者可诱导已登录的管理员或视频所有者通过访问恶意页面来批量删除评论。 影响范围 受影响版本: Composer 包版本 。 受影响用户: 站点管理员:可被诱导删除平台上的所有评论。 视频创作者:可被诱导删除其视频下的所有评论。 评论作者:可被诱导删除自己的评论。 危害:导致社区内容被大规模恶意删除,破坏内容完整性。 POC 代码 页面提供了两种利用方式(GET 和 POST): GET 方式(利用 标签): POST 方式(利用 JavaScript Fetch API): 修复方案 建议应用项目既定的 CSRF 防御模式,具体包括: 1. 验证请求来源:调用 以检查 Origin/Referer。 2. 限制请求方法:仅允许 请求,拒绝 请求。 3. 引入 Token:在 中引入短效全局 Token ( ) 并在端点中进行验证。 修复代码示例: