115存在记事本功能,记事本有删除功能,删除功能可能没有加上验证用户的函数导致了恶意人的利用。
?ac=note&op=del
数据包
nid=xx
true为成功,false呢就是记事本不存在- -
删了100,再删就不存在所以false了。。
记事本CSRF多多添加,各种 请妥善处理。
修复方案:
删除功能可能没有加上验证用户的函数或者没有加上验证用户的封装类,加上吧!
,涛涛电脑知识网,涛涛电脑知识网