https://blog.qife122.com/tags/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0/ Recent content in 跨站请求伪造 on 办公AI智能小助手 Hugo zh-cn qife Wed, 31 Dec 2025 02:13:17 +0800 https://blog.qife122.com/p/pkp-wal-3.5.0-1-%E5%8F%8A%E6%9B%B4%E4%BD%8E%E7%89%88%E6%9C%AC%E4%B8%AD%E7%9A%84%E7%99%BB%E5%BD%95%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ Wed, 31 Dec 2025 02:13:17 +0800 https://blog.qife122.com/p/pkp-wal-3.5.0-1-%E5%8F%8A%E6%9B%B4%E4%BD%8E%E7%89%88%E6%9C%AC%E4%B8%AD%E7%9A%84%E7%99%BB%E5%BD%95%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ <h2 id="kis-2025-14-pkp-wal--350-1-登录跨站请求伪造漏洞">[KIS-2025-14] PKP-WAL &lt;= 3.5.0-1 登录跨站请求伪造漏洞</h2> <p><strong>来自：</strong> Egidio Romano &lt;n0b0d13s () gmail com&gt; <strong>日期：</strong> 2025年12月23日 星期二 12:20:56 +0100</p> <hr> <h2 id="pkp-wal--350-1-登录跨站请求伪造漏洞">PKP-WAL &lt;= 3.5.0-1 登录跨站请求伪造漏洞</h2> <p><strong>[-] 软件链接：</strong></p> <p><a href="https://pkp.sfu.ca">https://pkp.sfu.ca</a> <a href="https://github.com/pkp/pkp-lib">https://github.com/pkp/pkp-lib</a></p> https://blog.qife122.com/p/wordpress-ays%E7%9B%B8%E5%86%8C%E6%8F%92%E4%BB%B6cve-2025-13685%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0%E9%A3%8E%E9%99%A9%E8%AF%A6%E8%A7%A3/ Wed, 10 Dec 2025 03:05:57 +0800 https://blog.qife122.com/p/wordpress-ays%E7%9B%B8%E5%86%8C%E6%8F%92%E4%BB%B6cve-2025-13685%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0%E9%A3%8E%E9%99%A9%E8%AF%A6%E8%A7%A3/ <h1 id="cve-2025-13685-ays相册插件process_bulk_action跨站请求伪造漏洞">CVE-2025-13685 Ays相册插件process_bulk_action跨站请求伪造漏洞</h1> <h2 id="概述">概述</h2> <p>在WordPress平台的Ays相册插件6.4.8及之前版本中发现了一个被评定为有问题的漏洞。该漏洞影响<code>process_bulk_action</code>函数。攻击者的操纵行为会导致跨站请求伪造。</p> https://blog.qife122.com/p/%E5%88%A9%E7%94%A8%E5%AE%A2%E6%88%B7%E7%AB%AF%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E5%AE%9E%E6%96%BD%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0csrf-%E5%BC%95%E5%85%A5cspt2csrf%E6%8A%80%E6%9C%AF%E8%AF%A6%E8%A7%A3/ Mon, 08 Dec 2025 17:53:55 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8%E5%AE%A2%E6%88%B7%E7%AB%AF%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E5%AE%9E%E6%96%BD%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0csrf-%E5%BC%95%E5%85%A5cspt2csrf%E6%8A%80%E6%9C%AF%E8%AF%A6%E8%A7%A3/ <h2 id="利用客户端路径遍历执行跨站请求伪造---引入-cspt2csrf">利用客户端路径遍历执行跨站请求伪造 - 引入 CSPT2CSRF</h2> <p><strong>02 Jul 2024 - 发布者：Maxence Schmitt</strong></p> <p>为了给用户提供更安全的浏览体验，IETF提出的“逐步改进Cookie”提案推动了一些重要变更，以解决跨站请求伪造（CSRF）和其他客户端问题。不久之后，Chrome和其他主流浏览器实施了建议的更改，并引入了SameSite属性。SameSite有助于缓解CSRF，但这意味着CSRF就此消失了吗？</p> https://blog.qife122.com/p/%E5%88%A9%E7%94%A8%E5%AE%A2%E6%88%B7%E7%AB%AF%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E5%AE%9E%E7%8E%B0%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0-cspt2csrf%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Wed, 17 Sep 2025 20:03:18 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8%E5%AE%A2%E6%88%B7%E7%AB%AF%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E5%AE%9E%E7%8E%B0%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0-cspt2csrf%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="利用客户端路径遍历执行跨站请求伪造---介绍cspt2csrf">利用客户端路径遍历执行跨站请求伪造 - 介绍CSPT2CSRF</h1> <p>2024年7月2日 - Maxence Schmitt发布</p> <p>为了为用户提供更安全的浏览体验，IETF提案&quot;逐步改进的Cookie&quot;推动了一系列重要变更，以解决跨站请求伪造(CSRF)和其他客户端问题。不久后，Chrome和其他主流浏览器实施了建议的更改并引入了SameSite属性。SameSite有助于缓解CSRF，但这是否意味着CSRF已经消亡？</p> https://blog.qife122.com/p/%E5%88%A9%E7%94%A8%E5%AE%A2%E6%88%B7%E7%AB%AF%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E5%AE%9E%E7%8E%B0%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0-cspt2csrf%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Wed, 17 Sep 2025 14:29:54 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8%E5%AE%A2%E6%88%B7%E7%AB%AF%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E5%AE%9E%E7%8E%B0%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0-cspt2csrf%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="利用客户端路径遍历执行跨站请求伪造---介绍cspt2csrf">利用客户端路径遍历执行跨站请求伪造 - 介绍CSPT2CSRF</h1> <p>2024年7月2日 - 发布者 Maxence Schmitt</p> <p>为了为用户提供更安全的浏览体验，IETF提案&quot;逐步改进的Cookie&quot;推动了一些重要变更，以解决跨站请求伪造（CSRF）和其他客户端问题。不久后，Chrome和其他主流浏览器实施了建议的更改，并引入了SameSite属性。SameSite有助于缓解CSRF，但这是否意味着CSRF已经消亡？</p> https://blog.qife122.com/p/cve-2022-21703grafana%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Sat, 06 Sep 2025 23:42:43 +0800 https://blog.qife122.com/p/cve-2022-21703grafana%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="cve-2022-21703grafana跨站请求伪造漏洞">CVE-2022-21703：Grafana跨站请求伪造漏洞</h1> <p>本文是关于CVE-2022-21703的详细分析报告，该漏洞是bug赏金猎人abrahack与我合作发现的成果。如果您正在使用或计划使用Grafana，至少应阅读以下部分。</p>