目录 Origin & Referer BypassNull值绕过域名校验绕过配合XSS进行利用获取表单中的token获取url参数中的token配合URL跳转漏洞X-Request-with...
12月24日安全博客8 views评论csrf
CSRF的绕过与利用
12月24日安全博客8 views评论csrf
12月24日安全博客8 views评论csrf
GraphQL漏洞笔记及案例
目录 GraphQL的基础知识相关漏洞整理敏感信息泄露与越权Express-GraphQL Endpoint CSRF漏洞GraphQL的注入漏洞Graphene-Django DEBUG漏洞实例 -...
12月24日13 views评论csrf
django
CyberPanel upgrademysqlstatus 远程命令执行漏洞(CVE-2024-51567) POC
CyberPanel upgrademysqlstatus 远程命令执行漏洞(CVE-2024-51567) 免责声明:本文内容为机器人搜集最新漏洞及POC分享,仅供技术学习参考,请勿用作违法用途,任...
12月09日23 views评论csrf
远程命令执行漏洞
SRC漏洞挖掘之道
一个 SRC 混子挖 SRC 的半年经验分享~, 基本都是文字阐述,希望能给同样在挖洞的师傅们带来一点新收获。前期信息收集还是那句老话, 渗透测试的本质是信息收集,对于没有 0day 的弱鸡选手来说,...
12月07日安全文章33 views评论信息收集
漏洞挖掘
使用CSRF 常见的防御措施是不是就万事大吉了-防御措施绕过机制
点击蓝字关注我们始于理论,源于实践,终于实战老付话安全,每天一点点激情永无限,进步看得见绕过 CSRF 令牌验证什么是CSRF 令牌?CSRF 令牌是由服务器端应用程序生成并与客户端共享的唯一、秘密且...
12月03日15 views评论csrf
防御措施
跨站脚本XSS 和 跨站请求伪造CSRF 有何区别
点击蓝字关注我们始于理论,源于实践,终于实战老付话安全,每天一点点激情永无限,进步看得见跨站脚本XSS允许攻击者在受害者用户的浏览器中执行任意 JavaScript。跨站请求伪造 CSRF允许攻击者诱...
12月03日8 views评论csrf
xss
跨站请求伪造 (CSRF)漏洞利用原理
点击蓝字关注我们始于理论,源于实践,终于实战老付话安全,每天一点点激情永无限,进步看得见什么是跨站请求伪造CSRF攻击者能够利用受害者已经登录的状态,发送伪造的请求,从而达到恶意目的。其实主要依赖于W...
12月03日8 views评论csrf
漏洞利用
CVE-2024-11680
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。[ 漏洞简介 ]—— ...
12月03日28 views评论csrf
漏洞复现
常见的点击劫持示例
点击蓝字关注我们始于理论,源于实践,终于实战老付话安全,每天一点点激情永无限,进步看得见严正声明本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...
12月01日11 views评论csp
csrf
命令注入 / CSRF 绕过漏洞(cve-2024-51567)
0x01 工具介绍 漏洞概述编号: CVE-2024-51567类型: 命令注入 / CSRF 绕过影响范围: CyberPanel 2.3.6 和 2.3.7 版本(未修复)在 CyberPanel...
11月29日安全漏洞17 views评论csrf
命令注入
记一次影视cms黑盒CSRF->RCE
俗话说得好,思路才是最重要,本文章主要提供思路,各位师傅在挖掘漏洞的时候说不定也能碰到类似的点 1.思路: 当我们在找可以构建csrf的时候,多找找可以提交上传图片的,部分是可以自由构建url如图: ...
11月27日14 views评论csrf
rce
【DVWA】CSRF跨站请求伪造实战
不为圣贤,便为禽兽;莫问收获,但问耕耘。1.CSRF(Low)相关代码分析可以看到,服务器收到修改密码的请求后,会检查参数password_new与password_conf是否相同,如果相同,就会修...
11月26日11 views评论csrf
dvwa
30