【发布时间】:2016-08-05 23:48:27
【问题描述】:
我从我的测试公司得到这个测试问题,_frontendCSRF cookie 会导致 sql 注入。他们为login 页面提供它。我的应用程序是基于yii2 构建的。这是详细信息。
_frontendCSRF cookie 似乎易受 SQL 注入攻击 攻击。有效载荷')和%20benchmark(20000000%2csha1(1))--%20是 在 _frontendCSRF cookie 中提交。申请花了11004 响应请求的毫秒数,相比 1681 原始请求的毫秒数,表示注入的 SQL 命令导致时间延迟。
Cookie: PHPFRONTSESSID=62ca0ebed7ad7d7c5e15a8c267f77551; current_shop=2; site_url=http%3A%2F%2F52.6.251.159%2F%7Edemoecom%2Fbuyold%2Ffrontend%2Fweb; blog_url=http%3A%2F%2F52.6.251.159%2F%7Edemoecom%2Fbuyold%2Fblog; is_buyold_login=0; _language=ba7c0570c541af8890cb020f80553258ee37070af083c555286d73a4165020c5a%3A2%3A%7Bi%3A0%3Bs%3A9%3A%22_language%22%3Bi%3A1%3Bs%3A2%3A%22au%22%3B%7D; _frontendCSRF=ae5e122353d27ce1288157fc2b42e65dacf96d5fc4c5d0d7f883c19215138691a%3A2%3A%7Bi%3A0%3Bs%3A13%3A%22_frontendCSRF%22%3Bi%3A1%3Bs%3A32%3A%22S8P_oYh_fNd-eODMV4NMrUqkebCWEKsL%22%3B%7D')and%20benchmark(20000000%2csha1(1))--%20; __atuvc=6%7C31; __atuvs=57a03a16ead33d80005
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 153
现在我的项目处于测试模式,所以它在http。解决方案是什么?
我可以在会话中使用_frontendCSRF 或https 来解决它吗?任何帮助将不胜感激。
【问题讨论】:
-
你使用的是最新版本的 Yii 吗?如果这是一个尚未以某种方式解决的错误,我会感到惊讶。