CSRF # CSRF是跨站请求伪造攻击,由客户端发起,是由于没有在执行关键操作时,进行是否由用户自愿发起的确认攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。 比如某网站用户...
10月15日25 views评论csrf
ssrf
CSRF
10月15日25 views评论csrf
ssrf
10月15日25 views评论csrf
ssrf
WebSocket安全问题分析(一)——什么是WebSocket? #
一、什么是WebSocket? # WebSocket是通过HTTP协议发起的一个双向全双工的通信协议。WebSocket协议被广泛用在现代WEB程序中用于数据流的传输和异步通信。 二、WebSock...
10月15日18 viewsWebSocket安全问题分析(一)——什么是WebSocket? #已关闭评论csrf
sec
渗透测试面试题总结
1、拿到一个待检测的站或给你一个网站,你觉得应该先做什么?一、信息收集1.获取域名的whois信息,获取注册者邮箱姓名电话等。2.通过站长之家、明小子、k8等查询服务器旁站以及子域名站点,因为主站一般...
10月14日10 views评论csrf
中间件
Hvv面试经验(附面试题)
Hvv面经基础问题(目录):1.简单自我介绍Kali工具使用Burpsuite等工具抓包蜜罐使用方法2.你在hvv/攻防演练中取得了哪些成绩?3.上一个工作的主要内容?4.有没有遇到过有意思的逻辑漏洞...
10月13日40 views评论payload
反序列化
通用CSRF绕过的6种方法
writeup:DORABOX靶场CSRF(跨站请求伪造)实验
-013-DoraBox靶场搭建DoraBox地址:https://github.com/0verSp4ce/DoraBox一键建站程序AppServDownload:https://link.zhi...
10月07日36 views评论csrf
writeup
打破误区:那些年我们误解的HTTP GET安全问题
大家好,我是v浪。今天我们来探讨一个REST API设计中的常见问题:在读取操作中,使用HTTP POST还是GET方法更安全?这个问题源于一些组织长期以来禁止使用GET请求的做法。但是,这种做法往往...
10月04日51 views评论xss
敏感数据
XSS与CSRF详解
XSS与CSRF详解 随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展...
09月28日28 views评论csrf
xss
通过组合Self-XSS + CSRF得到存储型XSS
在一次漏洞赏金挖掘中,我在更改用户名的功能点出发现了一个XSS,在修改用户名的地方添加了一个简单的XSS payload并且刷新页面:用户设置面板XSS证明但是问题是这个功能配置并不是公...
09月26日31 views评论csrf
xss
【JS逆向】某大型音乐平台JS逆向分析
~ 我不知将去何方,但我已经在路上 ~前言本文章中所有内容仅供学习交流,严禁用于商业用途和非法用途,否则由此产生的一切后果均与文章作者无关,若有侵权,请联系我立即删除!阅读本篇文章,需要一定的爬虫基础...
09月22日22 views评论csrf
逆向分析
为什么 Django 的 [ DEBUG=True] 对黑客来说是一座金矿
错误配置通常是安全环境中最薄弱的环节。Django 中最危险但最容易被忽视的错误配置之一是DEBUG=True在生产环境中出现错误配置。从攻击者的角度来看,这是侦察和利用的金矿。本文探讨了攻击者如何利...
09月13日79 views评论csrf
中间件
WordPress 5.1.1 ,CSRF->XSS->RCE漏洞分析
WordPress 5.1.1 ,CSRF->XSS->RCE漏洞分析 WordPress安全机制与XSS写shell nonce机制 在WordPress中,对不同操作都做了nonce检...
08月06日30 views评论rce
xss
30