iframe、SameSite与CEF 背景 本人使用CEF(或是Chrome)来加载开发的前端页面,其中使用iframe嵌入了第三方页面,在第三方页面中需要发送cookie到后端,然而加载会报错,第三方页面后端无法接受到Cookie。 原因 由于CEF(Chrome内核)的安全策略,在51版本以前 ...
分类:
其他好文 时间:
2021-03-09 13:27:42
阅读次数:
0
编程时,偶尔需要伪造(模拟)数据,下面介绍如何使用Python伪造中文姓名。 1、安装库Faker # pip install Faker 2、导入并输出中文姓名 from faker import Faker fake = Faker("zh_CN") fake.name() 3、批量生成数据 N ...
分类:
编程语言 时间:
2021-02-27 13:39:58
阅读次数:
0
SSRF 即Server-Side Request Forgery 服务器端请求伪造攻击,利用漏洞伪造服务器端发起请求,从而突破客户端获取本身得不到的数据,SSRF攻击的目标是从外网无法访问的内部系统。 SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数,并且未对客户 ...
分类:
其他好文 时间:
2021-02-17 14:37:02
阅读次数:
0
###问题原因: Django的跨站请求伪造中间件:POST请求中缺少csrftoken参数和相关的值。 问题排查:登陆后才会具有csrftoken;ajax中放在header中 ###参考连接: https://docs.djangoproject.com/en/3.1/ref/csrf/#aja ...
分类:
Web程序 时间:
2021-01-25 10:43:40
阅读次数:
0
安全性测试的测试点 1.跨网站脚本攻击 通过脚本语言的缺陷模拟合法用户,控制其账户,盗窃敏感数据 2.注入攻击 通过构造查询对数据库、LDAP和其他系统进行非法查询 3.恶意文件执行 在服务器上执行Shell 命令Execute,获取控制权 4.伪造跨站点请求 发起Blind 请求,模拟合法用户,要 ...
分类:
其他好文 时间:
2021-01-07 12:19:23
阅读次数:
0
最近有涉及到第三方安全评测的问题,其中就包含了题目中所说的BashDoor漏洞。 BashDoor是什么? 维基百科: 我的理解是他能通过伪造一些请求头,然后获取到你服务器端的信息,甚至能进入服务器获取最高的权限。 贴一张网图: 可以看到他可以伪造请求头,然后获取到系统的信息。 实际问题: 请求头( ...
分类:
其他好文 时间:
2020-12-31 11:41:12
阅读次数:
0
有两种解法①session伪造②unicode欺骗 1.session伪造 在注册时发现admin已经被注册了,我用的admie注册进入,f12看到注释提示不是管理员、 接着在change password页面看到提示 在index.html发现要将session与admin的session进行比较 ...
分类:
其他好文 时间:
2020-12-30 10:53:29
阅读次数:
0
漏洞挖掘之SSRF漏洞 SSRF 漏洞原理 SSRF(Server-Side Request Forgery,服务器端请求伪造)。是?种利用服务端发起请求的?个安全漏洞。?般情况下,SSRF攻击的?标是从外网?法访问的内部系统。SSRF 形成的原因?都是由于服务端提供了从其他服务器应用获取数据的功能 ...
分类:
其他好文 时间:
2020-12-21 12:07:50
阅读次数:
0
uni-app Request请求设置请求头Referer参数 首先看到uni-app官网提供的文档来看是不支持伪造或修改请求头中的Referer参数的,但我们也有一种解决这个问题的办法。 解决办法: 我这里先说一下解决思路,前端没法设置Header中的Referer但不代表后端不能伪造请求头呀。我 ...
分类:
移动开发 时间:
2020-12-17 12:25:41
阅读次数:
3
CSRF概念 CSRF 跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息, ...
分类:
其他好文 时间:
2020-12-09 11:50:54
阅读次数:
3
