1、会员个人中心内存在CSRF漏洞,可在本地执行篡改会员个人信息2、通过bp软件抓包修改包内数据,后构造POC到本地,在cookie有效期内本地执行POC可直接修改会员信息3、经验证漏洞为cookie的SameSite属性为none,未作任何设置造成的,后将IIS中及web.config文件中的SameSite属性设为lax后,修复了此漏洞。
评论