漏洞标题
github.com/dinever/golf中的加密弱随机数生成
漏洞描述信息
跨站请求伪造(CSRF)令牌是使用math/rand生成的,而math/rand并不是一个安全的加密随机数生成器,因此攻击者可以预测值,并通过相对较少的请求绕过CSRF保护。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
Cryptographically weak random number generation in github.com/dinever/golf
漏洞描述信息
CSRF tokens are generated using math/rand, which is not a cryptographically secure random number generator, allowing an attacker to predict values and bypass CSRF protections with relatively few requests.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Golf 跨站请求伪造漏洞
漏洞描述信息
Golf是Peixuan Ding个人开发者的一个快速、简单、轻量级的 web 框架。 Golf 存在跨站请求伪造漏洞,该漏洞源于生成的CSRF令牌不安全。攻击者利用该漏洞可以预测CSRF令牌。
CVSS信息
N/A
漏洞类别
跨站请求伪造