審計cms時遇到各種csrf利用

審計cms遇到各種csrf利用 前幾天想審計一下代碼，下載了這個cms但是由於這個cms是試用版，源碼有一部分是看不到的，哪位表哥知道怎麼看可以告訴我。所以我直接開挖，相比前臺的漏洞，後臺的更好挖。 1. Csrf添加、修改、刪除管理員賬號 打開用戶管理 現在只有一個admin用戶，那麼我們點擊添加用戶 直接抓包開始測試 直接生成個csrf的poc不會的可以百度！ 保存爲1.html在瀏覽器中打開

>>阅读原文<<