CSRF(Cross-Site Request Forgery)跨站请求伪造攻击。CSRF 是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过Cookie等方式辨识用户身份(包括使用服...
安全文章
安全文章
安全文章
某路由器未授权访问
魔法少女雪殇的blog (snowywar.top)前言近期在学iot这方面,正巧工作室有个吃灰好几年的路由器,就索性拿过来拆了拆分析了一下。这个漏洞挖出来已经有一个月了,一直等CNVD过审才发,然后...
安全博客
Invoke-Http-powershll
powershell Invoke-WebRequest 不支持直接 -Headers 带入cookie,所以就写了个Invoke-Http作为补充 支持cookie头带入 支持tls不报错 1234...
安全博客
Python中直接从字符串读入cookie的方法
一般来说在使用cookielib的CookieJar时,如果想手动设置header中的cookie字段,需要使用MozillaCookieJar从cookie文件载入,这显然太不方便了,如果直接对每一...
安全文章
卡信卡系统Cookie欺骗漏洞
随便找个网站测试http://********.com/默认后台:********admin/y/index.php涉及cookie 少不了菜刀 也可以用其他工具 或者通过浏览器修改。右键扩展功能修改...
安全文章
shiro 不需要dnslog gadget的探测方式(附工具下载)
前言Shiro 是一个开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。Apache Shiro在用户登陆成功后会生成经过加密并编码的c...
安全博客
XSS
跨站脚本攻击XSS绕过-关于htmlspecial()函数的绕过Htmlspecialchars():是PHP中关于预定字符如(&,“,<>,)转义为实体HTML Htmlspec...
安全博客
CONFidence CTF 2019-Web 50分析思考
CONFidence CTF 2019-Web 50分析思考 当时没做出来,也有看到外国大师傅用缓存投毒非预期的。我还是太菜了orz。 首先是一个非常简陋的登陆页面,随手输入一个没人用的用户名,即可注...
安全文章
【奇技淫巧】通过解密f5的cookie信息获得服务器真实内网IP
渗透测试过程中,经常会遇到目标服务器使用F5 LTM做负载均衡。 如果能获取到目标服务器的真实IP地址,会给后续渗透带来一定便利。本文既是最近渗...
安全闲碎
如何高效利用你所“劫持”的HTTP会话?
HTTP会话劫持HTTP是无状态的协议,为了维持和跟踪用户的状态,引入了Cookie和Session,但都是基于客户端发送cookie来对用户身份进行识别,所以说拿到了cookie,就可以获得vict...
安全文章
不用cookie 一个盲打储存XSS对“某btc平台”攻城略地
再不点蓝字关注,机会就要飞走了哦首先说一下,其实“这类”文章土司论坛是有的,只是大家很少去翻。今天简单的分享一下。前一阵一直在玩比特币,但是无奈又TM站在了人生的最高点,别问我为什么用“又”,WCTM...
安全文章
(基础篇-2)浅谈cookie注入
写在前面非常感谢小伙伴们对我们inn0team的信任与支持,喵喵甚是感动~当然喵喵也没有偷懒喔,这是喵妹第一次发表文章,小伙伴们不要笑话我嘛~~~相信大家对SQL注入的原理和利用方式已经很熟悉了,对于...
