CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人 ...
分类:
其他好文 时间:
2020-04-03 21:47:08
阅读次数:
73
在练习之前我们来讲一讲XSS的基本知识吧! 什么是XSS攻击:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制–例如同源策略(same origin polic ...
分类:
其他好文 时间:
2020-04-03 21:35:34
阅读次数:
64
Security Headers--安全头系列 1)CSP 内容安全策略——开启后,请求头部增加 Content-Security-Policy:object-src 'self' 设置 2)XSS 攻击防护——开启后,请求头部增加 X-XSS-Protection:1; mode=block 设置 ...
分类:
其他好文 时间:
2020-04-03 16:48:17
阅读次数:
190
wxss中 page{ width:100%; height:100vh; background-image:url("转码 base64") background-size: cover; background-repeat: no-repeat; } 这样可以满屏 可是!!! 当内容过多 即屏幕 ...
分类:
其他好文 时间:
2020-04-03 13:42:39
阅读次数:
83
在做BJDCTF中的题目XSS之光的时候遇到了PHP原生类的反序列化,以前没有了解过,现在来学习一波。 基础知识 首先还是来回顾一下序列化中的魔术方法,下面也将以此进行分类来进行研究。 当对象被创建的时候调用:__construct 当对象被销毁的时候调用:__destruct 当对象被当作一个字符 ...
分类:
Web程序 时间:
2020-04-03 00:58:20
阅读次数:
210
参考资料:https://www.bilibili.com/video/BV1R4411u7Rk?t=442 dns解析被劫持 本地hosts文件被篡改,劫持到恶意网站;DNS解析服务器被篡改,解析到恶意网站。 引用第三方库的js等代码资源 第三方库的资源被攻击了,包含到自己网站中使用则也不安全 缓 ...
分类:
其他好文 时间:
2020-04-01 19:29:08
阅读次数:
74
XSS攻击的原理、方法、常用技巧, 相关防范措施 跨站脚本攻击(Cross Site Scripting,XSS) 漏洞在Web应用中很常见。攻击者可以通过XSS注入恶意代码(一般指为js程序)至受害者的浏览器,进而窃取受害者认证信息。 XSS注入有很多实现方式,可将XSS攻击大致分为存储型XSS、 ...
分类:
其他好文 时间:
2020-04-01 15:04:45
阅读次数:
245
xss盲打:并不是一种xss漏洞的类型,其实说的是一种xss的攻击场景。 开始我们的实验 随便输入后,(并不会在前端输出) 是不是这种输入 不输出在前端就不会有问题呢? 再输入弹窗试试(还是不在前端输出) 管理员登陆后台,后台的界面会把我们输入的内容输出,后台的管理员会被X到。这种场景被称为xss的 ...
分类:
Web程序 时间:
2020-03-31 22:31:08
阅读次数:
94
CSRF攻击 又叫“跨站请求伪造”。可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你的名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。 下图简单阐述了CSRF攻击的思想: 1、 ...
分类:
其他好文 时间:
2020-03-31 18:53:30
阅读次数:
92
将进行下图3个实验,更好的来理解xss的危害和原理 先去修改下Pikachu靶机中的,cookie.php修改成自己的ip 实验1:xss如何获取cookie? 只需要将 Pikachu靶机中的pkxss文件复制到攻击机中的站点(www)下即可。 登入下 默认没任何数据 1.1 GET型XSS利用: ...
分类:
其他好文 时间:
2020-03-31 14:41:31
阅读次数:
302
