去年10月,我针对Jira软件(版本8.4.1)进行了深度研究,希望能发现新的漏洞。最初,我得到了一些CSRF,并发现可利用其指示Jira服务器对我选择的其他主机发起连接。这个CSRF漏洞(CVE-2019-20099)影响Atlassian Jira Server和Data Center 8.7.0之前的版本,并且攻击者可以利用该漏洞通过受影响的Jira服务器对内部网络进行扫描。 这篇文章详细介绍了这个漏洞的发现以及相关PoC的信息。 跨站点请求伪造. CSRF攻击可通过借用合法登录用户的浏览器所存储的cookie来攻击网站,借用合法用户的身份在他们不知情的情况下执行一些恶意操作。…. Source link