安全百科

点击劫持与双击劫持

1.点击劫持漏洞在介绍本文的主角之前,还是先复习一下比较经典的点击劫持。其应用场景比较简单,在src挖掘中经常能看到。任何只需要点击一次就能触发的功能点,都可以尝试利用点击劫持进行攻击(当然,最好是一...
admin 02月18日24 views评论button height
阅读全文
安全文章

利用SSRF访问内部数据

声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。前言服务器端请求伪造 (SSRF) 是一种...
admin 12月03日11 views评论ssrf width
阅读全文
安全文章

记一次影视cms黑盒CSRF->RCE

俗话说得好,思路才是最重要,本文章主要提供思路,各位师傅在挖掘漏洞的时候说不定也能碰到类似的点 1.思路: 当我们在找可以构建csrf的时候,多找找可以提交上传图片的,部分是可以自由构建url如图: ...
admin 11月27日14 views评论csrf rce
阅读全文
HW&HVV

邮件钓鱼新思路

钓鱼事件应急然后下载附件需要仿造了一个登录界面:开始我以为是一个网易的存储型XSS漏洞,心想应急还能捡到个洞?后来分析发现,邮件支持发送html,附件的下载并不是真的有附件,而是html渲染的效果,然...
admin 11月15日19 views评论height smtp
阅读全文