依旧先拜祖师爷~重要声明该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关然后小姐姐跟上知识点大概有这么几个:1. XSS的深入利用...
漏洞报告模版 - CSRF跨站请求伪造漏洞
2.CSRF跨站请求伪造漏洞漏洞名称CSRF跨站请求伪造漏洞漏洞地址https://portswigger.net/web-security/csrf漏洞等级中危漏洞描述跨站请求伪造(也称为CSRF)...
关于工控安全的一次漏洞验证
昨天没有更新不好意思了,听说seebug收工控方面的漏洞,而且双倍kb,今天抽空做了一个之前存下,但是一直没去验证的漏洞。XZERES 442SR Wind Turbine CSRF漏洞 (CVE I...
CTF实战10 实验指导书
朝天一炷香~重要声明该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关这是一个不仔细看就会看不见的告示:从这一节开始,靶机会开始增加...
代码安全
随着互联网深入到各行各业,越来越多的应用系统、网站等被人类通过网络连接、访问。如何保障系统、网站不会因黑...
hvv面试题整理(补充版)
由于篇幅的原因上一次有一些常见的面试题没有发完,承接上次面试题整理如下:sql 注入的分类?sql 注入的预防?序列化与反序列化的区别常见的中间件漏洞?内网渗透思路?正向代理和反向代理的区别蚁剑/菜刀...
【渗透基础系列】一文读懂XSS、CSRF、SSRF、XXE漏洞原理、应用、防御
【Hacking黑白红】,一线渗透攻防实战交流公众号回复“电子书”获取web渗透、CTF电子书:回复“视频教程”获取渗透测试视频教程; 回复“内网书籍”获取内网学习书籍;&nbs...
从一些常见场景到CSRF漏洞利用
本文首发于先知社区0x00 前言闲来无事,开启了CSRF与SSRF漏洞的学习之旅。为什么要放一起学习呢?因为两者比较像,都是请求伪造。CSRF跨站请求伪造,SSRF服务器请求伪造。0x01 CSRF漏...
一次渗透测试引发的Json格式下CSRF攻击的探索
0x00 前言漏洞背景hw时期在电信三巨头之一旗下的子公司出差,做一下渗透测试。公网的业务主挖逻辑漏洞,但是每次挖着挖着就变成了CSRF攻击,出差半个月算是把这辈子的CSRF都给挖完了。testme师...
Phpwind GET型CSRF任意代码执行
0x01 后台反序列化位置首先纵览整个phpwindv9,反序列化的位置很多,但基本都是从数据库里取出的,很难完全控制序列化字符串。最后,找到三处:可恶的是,三处都在后台的Task模块下。Task模块...
漏洞组合拳之XSS+CSRF记录
作者:Freebuf-TeamsSix 原文地址:http://33h.co/9i04q今天学习一下 XSS + CSRF 组合拳,现将笔记记录如下。靶场环境本机(Win):19...
SUSCTF-2022 部分WriteUp
SUSCTF 本次比赛Misc方向题目由魔法少女雪殇、小夜、valen全部解出。团队纳新事项已提上日程,有兴趣的师傅可以留意一下公众号文章。Web★fxxkcors思路:CSRF修改用户权限附件中的j...
23