漏洞总结 漏洞概述 漏洞编号: #800691 漏洞名称: code-projects Invoice System in Laravel 1.0 Cross-Site Request Forgery (CSRF) + Weak Session Handling 漏洞类型: 跨站请求伪造 (CSRF) + 弱会话处理 提交用户: c4m1c4k (UID 75518) 提交时间: 2020-04-09 03:47 AM 审核时间: 2020-04-29 04:45 PM 状态: 已验证 (Verified) VulDB 条目: code-projects Invoice System in Laravel 1.0 cross-site request forgery 影响范围 受影响系统: code-projects Invoice System in Laravel 1.0 漏洞描述: 登出功能通过 GET 请求实现,且不需要 CSRF 令牌。攻击者可以通过诱骗受害者点击链接或加载恶意图片标签,强制受害者登出应用程序。 修复方案 建议措施: 1. 将登出功能从 GET 请求改为 POST 请求。 2. 在登出请求中添加 CSRF 令牌验证。 3. 确保会话管理的安全性,避免弱会话处理。 POC 代码 来源链接: https://gist.github.com/higordiegodev25a1b65d938f8da2e806bcdc031a1b