学习使用

统计

登录

标签搜索

搜索到 3 篇与的结果 ———

CSRF 跨站请求伪造

CSRF 跨站请求伪造

CSRF漏洞原理CSRF（Cross-Site Request Forgery）中文名称：跨站请求伪造；也被称为：one click attack/session riding，缩写：CSRF/XSRF, 是一种针对浏览器的攻击行为，骗过服务器的一种操作。只要浏览器请求过目标网站，Cookie会存储在浏览器中，下次再访问相同网站(发送相同网站请求)，浏览器会自动带上该网站域名下面的cookie,CSRF就是利用此原理发起攻击的。CSRF攻击：攻击者盗用了用户的身份，以用户的名义发送请求(恶意请求)。条件CSRF攻击要能够执行，用户必须依次完成两个步骤：1、登录受信任网站A，并在本地浏览器生成Cookie。2、在不登出A的情况下，访问危险网站B。CSRF攻击场景1.社交分享功能：获取超链接的标题等内容进行显示2.转码服务：通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览3.在线翻译：给网址翻译对应网页的内容4.图片加载/下载：例如富文本编辑器中的点击下载图片到本地；通过URL地址加载或下载图片5.图片/文章收藏功能：主要其会取URL地址中title以及文本的内容作为显示以求...

admin

2021-12-10

1,976 阅读

0 评论

2021年12月10日

1,976 阅读

0 评论

万能XSS payload

万能XSS payload

可以适应各种场景进行js代码执行的 payload，但对于替换关键字内容的过滤难以绕过，比如将script替换为sc_ript。payload：jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e内容： jaVasCript: ---ECMAScript 中的标签；否则为 URI 方案。 /*-/*`/*\`/*'/*"/**/ ---ECMAScript 中的多行注释；文字分隔符序列。 (/* */oNcliCk=alert() ) --- 一个缠结在调用括号中的执行区！ //%0D%0A%0d%0a// --- ECMAScript中的单行注释； HTTP 响应标头中的双 CRLF。 </stYle/</titLe/</teXtarEa/&l...

admin

2021-12-04

740 阅读

0 评论

2021年12月04日

740 阅读

0 评论

XSS漏洞

XSS漏洞

{lamp/}XSS漏洞的攻击原理XSS，（Cross Site Scripting）跨站脚本攻击，为了不和层叠样式表（Cascading Style Sheets）的缩写CSS混合，所以改名为XSS；XSS的原理：攻击者会向web页面（input表单、URL、留言、评论等位置）插入恶意JavaScript代码，导致管理员/用户访问时触发恶意代码，从而达到攻击者的目的。XSS漏洞形成原因：形成xss漏洞的原因是：程序对输入和输出的控制不够严格，导致嵌有恶意代码的脚本输入后，在输到前端时被浏览器当做有效代码解析执行从而产生危害。XSS漏洞存在的场景重灾区：评论区、留言区、个人信息、订单信息等针对型：站内信、网页即时通讯、私信、意见反馈存在风险：搜索框、当前目录、图片属性等基本上遇到能够输入的地方都可以尝试插入JS脚本尝试是否弹框。XSS漏洞的攻击类型常见的XSS漏洞分为存储型、反射型、DOM型三种。（1）反射型XSS【重点】反射型XSS是非持久性、参数型的跨站脚本，恶意代码并没有保存在目标网站，通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。一般会出现在搜索框或者...

admin

2021-12-02

1,799 阅读

5 评论

2021年12月02日

1,799 阅读

5 评论

admin博主

访问 188649 ℃

81 文章数

8,302 评论量

热门文章

标签云

繁