phpok最新版触发CSRF可以直接getshell

简要描述： 最新版的 phpok4.2.35 日期：2015-03-30 前台的一些操作加了chkcode，可后台的一些敏感操作都没加chkcode。 详细说明： 修改模板内容处没有验证chkcode和Referer POC： None booklist.html就是留言板的模板文件 当管理员不小心被钓鱼访问到poc的时候。 我们来看 http://localhost/index.php?id=book 漏洞证明：...