Ich habe dieses Testproblem von meiner Testfirma, dass _frontendCSRF Cookie sql Injektion verursachen kann. Sie stellen es für login Seite zur Verfügung. Meine Anwendung ist über yii2 erstellt. Hier sind die Detailinformationen._frontendCSRF Cookie scheint anfällig für SQL-Injection-Angriffe zu sein
Das _frontendCSRF-Cookie scheint anfällig für SQL-Injektion Angriffe zu sein. Die Payload ') und% 20benchmark (20000000% 2csha1 (1)) -% 20 wurde im _frontendCSRF-Cookie übergeben. Die Anwendung benötigte 11004 Millisekunden, um auf die Anforderung zu antworten, verglichen mit 1681 Millisekunden für die ursprüngliche Anforderung, die angibt, dass der injizierte SQL-Befehl eine Zeitverzögerung verursachte.
Cookie: PHPFRONTSESSID=62ca0ebed7ad7d7c5e15a8c267f77551; current_shop=2; site_url=http%3A%2F%2F52.6.251.159%2F%7Edemoecom%2Fbuyold%2Ffrontend%2Fweb; blog_url=http%3A%2F%2F52.6.251.159%2F%7Edemoecom%2Fbuyold%2Fblog; is_buyold_login=0; _language=ba7c0570c541af8890cb020f80553258ee37070af083c555286d73a4165020c5a%3A2%3A%7Bi%3A0%3Bs%3A9%3A%22_language%22%3Bi%3A1%3Bs%3A2%3A%22au%22%3B%7D; _frontendCSRF=ae5e122353d27ce1288157fc2b42e65dacf96d5fc4c5d0d7f883c19215138691a%3A2%3A%7Bi%3A0%3Bs%3A13%3A%22_frontendCSRF%22%3Bi%3A1%3Bs%3A32%3A%22S8P_oYh_fNd-eODMV4NMrUqkebCWEKsL%22%3B%7D')and%20benchmark(20000000%2csha1(1))--%20; __atuvc=6%7C31; __atuvs=57a03a16ead33d80005
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 153
Gerade jetzt ist mein Projekt in der Beta-Modus, so dass es in http ist. Was wäre die Lösung dafür? Kann ich _frontendCSRF in Sitzung oder https wird es lösen? Jede Hilfe wäre willkommen.
Verwenden Sie eine aktuelle Version von Yii? Ich wäre überrascht, wenn das ein Fehler ist, der irgendwie nicht behoben wurde. – tadman
Ich benutze 2.0.6 –