0x00 存储XSS1) 可绕过的XSS给大家分享个漏洞案例,今天上午刚把电脑修好某技术学院储存XSS+CSRF(XSS绕过滤到蠕虫攻击)注册处:http://xxx.edu.cn/meol/xxxx...
CTF实战10 CSRF跨站请求伪造漏洞
依旧先拜祖师爷~重要声明该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关(不是有同学问XSS弹个框框有啥用咩?这时候你就可以有用了...
Reddit修补CSRF漏洞,迫使用户查看NSFW内容
Reddit 中的跨站请求伪造(CSRF) 漏洞迫使用户查看成人内容。中等严重性的安全漏洞禁用了打开某些设置的选项,这意味着任何选择限制成人内容的用户都可能被恶意黑客引导到它。一份错误报告写道:“对h...
AWS SageMaker Jupyter Notebook 实例接管
本文为翻译文章,原文地址:https://blog.lightspin.io/aws-sagemaker-notebook-takeover-vulnerability概述我们发现攻击者可以跨账户在受...
前端面试题-安全篇
XSS跨站脚本攻击(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程式的安全漏洞攻击,是代码注入的一种。它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时...
以购物流程挖掘商城漏洞
零基础黑客教程,黑客圈新闻,安全面试经验尽在 # 暗网黑客教程 #一前言本文针对人群:很多朋友们接触安全都是通过书籍;网上流传的PDF;亦或是通过论坛里的文章,但可能经过了这样一段时间的学习,了解了一...
渗透技巧|反CSRF爆破的三种姿势
扫码领资料获入门教程免费&进群随姿势1:CSRF Token TrackerCSRF Token Tracker是个插件,可以在BApp Store下载安装这种方式可以说是最简单的,但是不适用...
每周蓝军技术推送(2022.6.4-6.10)
Web安全DeepPass:使用深度学习进行密码狩猎的工具https://github.com/GhostPack/DeepPass通过 X/CSRF 禁用未经授权的 2FAhttps://sadc0...
反CSRF爆破的三种姿势
姿势1:CSRF Token TrackerCSRF Token Tracker是个插件,可以在BApp Store下载安装这种方式可以说是最简单的,但是不适用姿势2和姿势3中的案例现有一个请求参数是...
实战 | 记一次反射型XSS+设计缺陷修改任意用户密码挖掘过程
最近在挖SRC,记录一下一些有趣的漏洞这个站同样没发现什么大的问题,这也是最近几天第三次挖掘该站了,在网站的各个地方输出都做了转义,一般来说并不会出现XSS,不过今天测试时开了两个浏览器窗口,当我在其...
实战 | 代码审计挖掘CNVD通用漏洞
前言本次内容对cnvd通用漏洞库中的bagecms进行一个代码审计和漏洞复现,对cnvd漏洞库里的几处漏洞进行复现挖掘,发现几处新的漏洞点。本次实验为靶机环境。本次内容仅用于学习和研究,不可用于违法违...
从0到1完全掌握 CSRF
更多全球网络安全资讯尽在邑安全0x01 前言总觉得自己的 CSRF 掌握的挺不好的,如今二刷一遍。当初一刷的时候用的是 Port,而毕竟 Port 嘛,更加注重的是漏洞挖掘,所以当时只是简单地会用 B...
23