了解什么是scrf? SCRF跨站点请求伪造Cross—Site Request Forgery) 指恶意用户通过个人用户的点击,然而盗用用户的账号信息,并发送邮件、虚拟货币的转账,以及一些重要的事务, 造成财产损失和隐私泄露。 scrf的攻击示意图(过程) flask-wtf防护 在 Flask ...
分类:
其他好文 时间:
2019-11-09 19:58:25
阅读次数:
73
大家好,我是@dhakal_ananda,来自尼泊尔,这是我在Hackerone上参加的雷蛇漏洞悬赏项目的一部分。一开始这个漏洞悬赏项目是一个非公开项目,我接到邀请后并没有参加;后来它变成了公开项目,我反而对它起了兴趣。 在挖掘漏洞时,我更喜欢绕过各种安全功能(例如二次验证),而不是挖掘普通的XSS ...
分类:
其他好文 时间:
2019-11-09 00:45:15
阅读次数:
234
细谈XSS骚操作 PayLoad 首先一个xss payload基本有以下几部分组成 [TAG]填充标签img svg video button... [ATTR]=Something 填充一些非必要的属性 src=1 xmlns="www.cnblogs.com/m0rta1s" [EVENT]填 ...
分类:
其他好文 时间:
2019-11-08 19:04:25
阅读次数:
112
CSRF攻击原理及测试方法 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在并未授权的情况下执行在权限保护之下的操作,有很大的危害性。 CSRF 攻击实例 CSRF ...
分类:
其他好文 时间:
2019-11-08 19:00:08
阅读次数:
189
前段时间我遇到一个问题,就是说普通的平台获取cookie的语句为↓ Default 1 <script src=js地址></script> 实际上我们的测试语句可能为↓ Default 1 <script>alert("90sec")</script> 也就是说js语句实际上是位于↓<script ...
分类:
Web程序 时间:
2019-11-08 15:11:58
阅读次数:
127
SRC目标搜集 首先得知道SRC厂商的关键字,利用脚本搜集一波。 比如【应急响应中心】就可以作为一个关键字。通过搜索引擎搜索一波,去重,入库。 SRC基础信息收集 微信公众号、xxsrc微信群。主要关注双倍积分活动、奖励大小、技术交流群里的信息。 通过公开信息掌握基础漏洞 在公开了漏洞标题的平台找最 ...
分类:
其他好文 时间:
2019-11-07 23:48:45
阅读次数:
174
文章来源i春秋 白帽子挖洞的道路还漫长的很,老司机岂非一日一年能炼成的。 本文多处引用了 YSRC 的 公(qi)开(yin)漏(ji)洞(qiao)。挖SRC思路一定要广!!!!漏洞不会仅限于SQL注入、命令执行、文件上传、XSS,更多的可能是逻辑漏洞、信息泄露、弱口令、CSRF。本文着重分析逻辑 ...
分类:
其他好文 时间:
2019-11-06 22:37:50
阅读次数:
329
https://blog.csdn.net/oDaiLiDong/article/details/83991364 写个写了xmx之外的内存很高 https://www.cnblogs.com/ceshi2016/p/8447989.html 这个写了xss ...
分类:
编程语言 时间:
2019-11-05 21:57:52
阅读次数:
64
xss测试用例小结: <script>alert("跨站")</script> (最常用)<img scr=javascript:alert("跨站")></img><img scr="javascript: alert(/跨站/)></img><img scr="javas????cript:al ...
分类:
数据库 时间:
2019-11-04 17:54:47
阅读次数:
80
一、什么是XSS?怎么发生的? XSS(Cross site scripting)全称为跨站脚本攻击,是web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如Javascript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的cookie,导航到恶意 ...
分类:
其他好文 时间:
2019-11-02 19:35:49
阅读次数:
78
