关键信息 漏洞类型 CSRF(跨站请求伪造) 影响的端点 URL: HTTP 方法: POST 易受攻击的参数 认证要求 需要认证: 是 CSRF 保护 未观察到 再现步骤 1. 登录为认证用户 - 使用管理员账户登录。 - 示例用户名和密码: 和 2. 使用 CSRF Proof-of-Concept - 保存并打开包含恶意 HTML 表单的文件 。 3. 触发 CSRF 攻击 - 当受害者访问包含恶意表单的页面时,表单会自动提交,发送伪造的请求。 技术证据 HTTP 请求 HTTP 响应 影响 攻击者可以创建一个执行任意操作的恶意网页。 可能导致未经授权的搜索、查看或修改记录等。 推荐修复措施 1. 实施 CSRF 令牌。 2. 设置 SameSite Cookies。 3. 验证头部。 4. 使用带有 CSRF 保护的框架。