csrf漏洞之DedeCMS靶场漏洞（超详细）

1.Csrf漏洞：

第一步，查找插入点，我选择了网站栏目管理的先秦两汉作为插入点

第二步修改栏目名称

第三步用burp拦截包

第四步生成php脚本代码

第五步点击submit

第六步提交显示修改成功

第二个csrf

步骤与上述类似

红色边框里面的数字会随着刷新而变化，由此可知存在token因此不能使用csrf注入

其他的csrf注入点类似，不一一赘述

2.xss漏洞

第一个xss漏洞，存在于附件数据管理--->

第二个漏洞存在于，内容管理-->更改内容管理

第三个漏洞

第四个漏洞