介绍本篇为代码审计系列的第十篇《代码审计之CSRF》,预计本系列为30篇左右。CSRF跨站请求伪造,用一句话来概括的就是:攻击者诱使已认证的用户在不知情的情况下执行非预期的操作。大体步骤为:1、用户登...
04月08日9 views评论csrf
代码审计
代码审计之CSRF
04月08日9 views评论csrf
代码审计
04月08日9 views评论csrf
代码审计
Jenkins 修复CSRF和开放重定向等多个漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士热门开源自动化服务器Jenkins 发布安全公告修复多个漏洞,其中包括加密机密泄露和跨站请求伪造 (CSRF) 漏洞。该安全公告在2025年3月5日发...
03月18日19 views评论csrf
奇安信
【RCE】Dedecms V5.7.115 存在命令执行漏洞
点击上方蓝字关注我们 并设为星标 0x00 前言 织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,在经...
03月18日15 views评论0day
rce
面试经验分享 | 某安全厂商HW面试经验
扫码领资料获网安教程本文由掌控安全学院 - routing 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn)所面试的公司:某安全厂商所在城市:安徽省...
03月16日13 views评论xss
恶意代码
利用JS文件挖洞
前言 一次渗透测试中,白帽小哥发现了 2 处 CSRF 漏洞,但不幸的是 CSRF 不在赏金范围内。 于是小哥开始尝试搜索JS文件,白帽小哥通常的做法是利用Chrome的开发者工具搜索特...
03月16日11 views评论csrf
payload
如何通过搜索JS文件找到存储XSS的故事
前言 一次渗透测试中,白帽小哥发现了 2 处 CSRF 漏洞,但不幸的是 CSRF 不在赏金范围内。 于是小哥开始尝试搜索JS文件,白帽小哥通常的做法是利用Chrome的开发者工具搜索特定的关键字或A...
03月15日2 views评论payload
xss
JAVA代审之shishuocms
前言 这套系统是我无意中发现的,是个很老的系统了,但是gitte上有2.8k Star然后也没披露过漏洞,就下载下来审着玩下,顺便水几个cve 本篇文章首发在先知社区,作者C@ig0 (本人) 先知...
03月12日12 views评论csrf
xss
Bp靶场portswigger-GraphQLAPI
关注该公众号,不定时分享各种资源和文章,感谢关注:)查找 GraphQL 端点在测试 GraphQL API 之前,您首先需要找到其端点。由于 GraphQL API 对所有请求都使用相同的端点,因此...
03月06日11 views评论csrf
graphql
我从有限的存储XSS到开放重定向和偷偷摸摸的CSRF Referrer Bypass的旅程
🎯 介绍 在bug赏金狩猎的狂野世界中,有时您会偶然发现黄金。这是我在同一个程序中发现的两个独立错误的故事,但位于不同的地方。 一个最初是一个看似不可利用的存储型 XSS 漏洞,但通过一点创意,我把它...
02月28日11 views评论bypass
xss
面试经验分享 | 成都某安全厂商渗透测试工程师
本文由掌控安全学院 - 执念 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 所面试的公司:某安全厂商 所在城市:成都 面试职位:渗透测试工...
02月28日安全职场11 views评论ctf
xss
两则JSON CSRF实例
最近面试被问到JSON CSRF,还刚好挖过他们家SRC两个实际案例,当时挖洞的时候也特地去查过JSON CSRF的资料,可面试的时候怎么也没想起来,遂翻出以前SRC的报告记录一下再整理下JSON C...
02月27日14 views评论csrf
hidden
记一次反射型XSS+设计缺陷修改任意用户密码挖掘过程
最近在挖SRC,记录一下一些有趣的漏洞 这个站同样没发现什么大的问题,这也是最近几天第三次挖掘该站了,在网站的各个地方输出都做了转义,一般来说并不会出现XSS,不过今天测试时开了两个浏览器窗口,当我在...
02月27日9 views评论csrf
xss