漏洞关键信息 漏洞标题: SmartHouse Webapp 6.5.33 - Cross-Site Request Forgery 漏洞类型: WEBAPPS 漏洞ID: EDB-47730 作者: LIQUIDWORM 日期: 2019-12-02 平台: PHP 受影响的应用程序: SmartHouse Webapp 6.5.33 摘要: 该应用程序存在多个CSRF和XSS漏洞。应用程序允许用户通过HTTP请求执行某些操作而不进行任何有效性检查来验证请求。这可以被利用在登录用户访问恶意网站时执行具有管理权限的某些操作。传递给多个GET/POST参数的输入在返回给用户之前未正确清理。这可以被利用在受影响站点的上下文中在用户的浏览器会话中执行任意HTML和脚本代码。 测试环境: Apache PHP 漏洞发现者: Gjoko 'LiquidWorm' Krstic (@zeroscience) 咨询ID: ZSL-2019-5543 咨询URL: https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5543.php 漏洞利用示例: 反射型XSS (GET): - 示例1: - 示例2: CSRF (设置温度): 存储型XSS (POST):