一、JSONP技术原理剖析 1.1 核心机制 JSONP(JSON with Padding)是一种基于动态脚本注入的跨域通信技术,其核心原理如下: // 客户端定义回调处理函数function ha...
47分钟前4 views评论jsonp
跨域
JSONP劫持漏洞攻防指南
47分钟前4 views评论jsonp
跨域
47分钟前4 views评论jsonp
跨域
CRSF、配置JSONP劫持、CORS存在的cookie跨域问题
前言最近在挖SRC时遇到了JOSNP和CORS,但是进行JSONP劫持和CORS跨域请求的尝试却失败了,后来经过研究发现根本原因是cookie跨域的限制造成了,遂有了这篇文章。关于cookie跨域的分...
03月28日8 views评论浏览器
跨域
十分钟,带你看懂JWT(绕过令牌)
前言在挖掘 SRC 的时候,面对一些 SSO 的场景,经常会看到一些奇奇怪怪的数据,这些数据多以三段式加密方式呈现,在后续的学习过程中,明白了此类令牌名为 Token,在之前的学习过程中简单...
03月08日45 views评论jwt
令牌
漏洞原理 | CORS跨域学习篇
本文由掌控安全学院 - 帆先生 投稿 0x01:原理 1、 什么是CORS 全称跨域资源共享,用来绕过SOP(同源策略)来实现跨域访问的一种技术。 CORS漏洞利用CORS技术窃取用户敏感信息 2、 ...
02月15日38 views评论origin
浏览器
CORS跨域资源共享攻击
前置知识 跨域 域(Domain)是由三部分组成的标识:协议、域名和端口。 例如这两个ip就属于不同的域: http://example.com https://example.com 因为它们的协议...
11月09日0 viewsCORS跨域资源共享攻击已关闭评论example
v
【2023HW】|10-攻防演练之蜜罐获取个人信息方式研究
目录 前言web站点蜜罐JSONP劫持获取敏感信息XSS漏洞获取敏感信息mysql蜜罐原理利用应用总结 前言 随着攻防演练的不断开展,为了更好的进行溯源,很多企业都使用了蜜罐技术。蜜罐是一种欺骗的技术...
08月04日117 views评论敏感信息
蜜罐
【渗透实战】某SaaS平台渗透测试
简单介绍 自己接过的一个项目,不过其实是客户自己在使用的一个SaaS平台,也就是对SaaS平台的测试本质上来说没有严格授权。 信息收集 由于没有严格授权也就将测试范围局限在了单个网站上,并没有根据域名...
07月19日33 views评论csrf
功能
深入了解CORS数据劫持漏洞
CORS介绍 CORS(跨源资源共享)是一种用于在Web应用程序中处理跨域请求的机制。当一个Web应用程序在浏览器中向不同的域(源)发起跨域请求时,浏览器会执行同源策略,限制了跨域请求的默认行为。同源...
05月17日54 views评论web应用程序
浏览器
点击 Get跨域数据安全风险检查清单
某日,小张收到了一条朋友发来的某大型购物网站的购买链接:“9.9低价抢购整箱黄桃罐头”小张立即兴奋地点进链接准备大薅羊毛——然而,这条购买链接其实是伪装成正规购物网站网址的钓鱼网站。随后,攻击者在钓鱼...
12月21日14 views评论敏感数据
数据安全
账号被盗?可能不是你的原因!网站跨域要做好!
跨域案例:案例1:有一些黑客利用iframe技术将支付宝,银行等真正的登录页面嵌套到黑客自己的页面里面,这样的话,如果你的网站没有同源限制,那么你所输入的用户名密码就被黑客利用JavaScript脚本...
12月10日27 views评论https
黑客
阿里云OSS约等于文件上传漏洞?
首先声明这是一篇标题党的文章,阿里云OSS不被这个锅,锅其实还是在企业或者说是用户。前言之所以要写这篇口水文,是因为最近在检测自家公司产品时发现存在这个问题,同时不久在测试某src的某系统时也存在类似...
12月02日214 views评论com
域名
浅谈Web安全从SOP到CORS跨域再到CSP
0x00 从源和同源策略开始说起源的理解我们可以通过一个网址来理解https://www.baidu.com:80https:// 协议baidu.com 主机名80端口这样一个由协议主机名端口组成的...
07月25日197 views评论origin
主机名