摘要:
CSRF漏洞解释,原理 CSRF:跨站请求伪造,是一种网络的攻击方式(核心:伪造请求) 黑客利用某网站用户的登陆状态,然后伪造请求的链接,造成对登录态用户的修改等各种危险操作 被攻击者需要依次完成两个步骤: 登陆受信任网站A,并在本地生成cookie; 在A的cookie存活期间,访问危险网站B。 阅读全文
posted @ 2023-03-17 15:16
Cx330ki
阅读(83)
评论(0)
推荐(0)
摘要:
常见WAF绕过思路 标签语法替换,特殊符号干预,/和#,提交方式更改,垃圾数据溢出,加解密算法,结合其他漏洞绕过 自动化工具说明 XSStrike主要特点反射和DOM XSS扫描,多线程爬虫,Context分析,可配置的核心,检测和规避WAF,老旧的JS库扫描,只能payload生成器,手工制作的H 阅读全文
posted @ 2023-03-17 15:05
Cx330ki
阅读(79)
评论(0)
推荐(0)
摘要:
进入后台获得后台权限:cookie权限进入后台;直接账号密码登录 Str-replace 关键字过滤 什么是httponly 如果在cookie中设置了httponly属性,那么通过js脚本将无法读取到cookie信息,这样能有效方式XSS攻击(是防止攻击,并不是防止XSS漏洞) 进入后台获取后台权 阅读全文
posted @ 2023-03-17 15:02
Cx330ki
阅读(147)
评论(0)
推荐(0)
浙公网安备 33010602011771号