[CVE-2019-20099]所谓的测试POP3服务连通性的CSRF

其他 2020-04-04 11:41:05 阅读次数: 0

讲了Jira的CSRF简单的防御方法，比如referer的校验，和xsrf token的校验。但是Jira并没有对所有敏感请求都进行验证。比如验证POP3 服务器连通性的这个功能就没有。

由于这个测试POP3 服务器连通性的功能需要管理员权限，所以这个csrf脚本需要管理员触发。散了吧。
攻击过程需要

参考：
https://medium.com/tenable-techblog/exploiting-jira-for-host-discovery-43be3cddf023

caiqiiqi

发布了619 篇原创文章 · 获赞 107 · 访问量 105万+

他的留言板关注

猜你喜欢

转载自blog.csdn.net/caiqiiqi/article/details/104892684

[CVE-2019-20099]所谓的测试POP3服务连通性的CSRF

ip连通性的测试

网络连通性测试

测试端口连通性

ping - 连通性测试

Linux服务器测试网络连通性

Java测试网络连通性

快速高效测试主机连通性

Java测试Redis连通性

简单测试IP地址连通性

【Linux】测试端口连通性telnet

怎么测试Redis的连通性？

Oracle测试DBLINK连通性

怎么测试 Redis 的连通性？

MPLS连通性测试原理

Spring Boot - Redis 连通性测试

ansible主机连通性测试报错

测试UDP端口连通性

linux 测试网络连通性方法

如何测试UDP端口连通性

测试azure ai连通性脚本

图（3）——图的遍历与连通性

使用Telnet测试基本POP3服务

图的连通性

邻域、连通性

连通性

服务器使用nc测试UDP连通性（linux和 windows）

怎么在Linux服务器上测试TCP/UDP端口的连通性

如何在Linux环境下测试端口的连通性？

Linux系统下怎么测试端口的连通性

今日推荐

中国码农的“35岁魔咒”

蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版，免费下载

Arc Browser for Windows 1.0 正式 GA

90后程序员开发视频搬运软件、不到一年获利超 700 万，结局很刑！

《美国对全球网络空间安全与发展的威胁和破坏》报告发布

周排行

[编程题]学英语

[codeforces 1288A] Deadline 约数+模

Python的web开发

Docker在Centos 7上的部署

python编码

解决Ubuntu16.04 fatal error: json/json.h: No such file or directory

mysql并发插入

rest接口如何适应jsonp的方案

linux 终端上网设置

高数——等号两边同时求导、积分的解释

每日归档

2024-05-04(7)

2024-05-03(19)

2024-05-02(0)

2024-05-01(4)

2024-04-30(1)

2024-04-29(40)

2024-04-28(0)

2024-04-27(56)

2024-04-26(39)

2024-04-25(22)