摘要： 打算从0到1，重新做一遍DWVA靶场，复习各个技巧并记录下思路和总结。 这次的CSRF很简单。 点完copy，点drop，将此次的请求丢弃，说明我们没提交请求。 copy的内容粘贴在浏览器，打开，点击submit request 修改成功 未完待续...... 阅读全文

摘要： 打算从0到1，重新做一遍DWVA靶场，复习各个技巧并记录下思路和总结。 impossible是介绍如何防御的。 一次性token+次数限制。主要预防csrf和爆破。 这里主要说明一次性token的生成机制。 session_token是随机生成的动态值，每次向服务器请求，客户端都会携带最新从服务端下 阅读全文