xhr - 第 2 | CN-SEC 中文网

安全文章

价值$4,660的CSRF漏洞

01—CSRF扩大战果 CSRF 攻击的工作原理是诱骗经过身份验证的 Argo CD 用户加载一个网页，该网页包含代表受害者调用 Argo CD API 端点的代码。例如，攻击者可以向 Argo CD...

07月03日20 views评论

阅读全文

WEB前端逆向随笔

WEB前端逆向初学者的若干备忘。不管用啥办法，得尽早设法F12调试，否则进展困难。正常js不太可能用eval这类狗屎函数，Ctrl-Shift-F，全局搜索eval，命中的js都需要手工检视。有两类常...

06月26日安全文章14 views评论

阅读全文

安全文章

js逆向系列09-WPS

直接输入随机账号密码，查看网络请求，主要有两个数据包：请求passkey接口，返回pass_key和ssid。还有一个safe_verify请求，请求体中包含ssid，password，account...

06月06日17 views评论

阅读全文

安全文章

js 逆向系列01-断点&方法栈

如果一个网站存在加密，其大致的运行流程如下：网站代码运行时间轴 1、加载 html 2、加载 js 3、运行 js 初始化 4、用户触发事件&nbs...

02月10日50 views评论

阅读全文

安全文章

漏洞挖掘之XSS接管任意用户账户

在这篇文章中，const & I （mrhavit）将分享我们发现跨站点脚本（XSS）漏洞的经验，该漏洞可能导致我们在参与他们的漏洞赏金计划期间在多个 TikTok 应用程序中可能被接管...

01月26日46 views评论

阅读全文

安全文章

从条件竞争到绕过瑞数6反爬构造正向代理进入内网

前言文章主要讲述某次红队攻防项目中，从挖掘某系统0day漏洞拿到shell并通过jfinal框架的某个tips绕过waf，到绕过瑞数6反爬最终构造正向代理进入内网的过程漏洞挖掘前期若干天供应链的艰辛不...

12月11日107 views评论

阅读全文

安全文章

portswigger靶场-Lab12、13

（Lab 12）DOM反射xss（search函数中的eval执行json中的js）（Lab 13）DOM存储xss（search函数中的eval执行json中的js）靶场地址：https:...

10月31日22 views评论

阅读全文

安全漏洞

Atlas VPN存在泄露用户真实IP地址漏洞

媒体 9月5日称，影响 Linux客户端的 Atlas VPN 漏洞，仅通过访问网站即可泄露用户的真实IP地址。用户 Educ...

09月07日18 views评论

阅读全文

安全漏洞

CVE-2023-34192 —— Zimbra XSS To RCE

一、组件概述1.关键词邮服、协作2.概述Zimbra 是一个电子邮件和协作平台，包括聊天、视频会议、日历、联系人、任务、文件共享/编辑，并且集成了Slack、Zoom、Dropbox 等内置功能。5...

07月20日406 views评论

阅读全文

安全文章

知乎 x-zse-96 字段破解

一前言1.1 本文仅供研究与学习使用自从21年破解知乎web后就没去再关注它，最近很多伙伴私信说知乎已经更新版本，于是乎便有了这一次的逆向！这次笔记会稍微简洁些，具体操作不懂的可查看我之前在csdn写...

06月12日80 views评论

阅读全文

安全文章

记录一次邮件钓鱼

事件背景上个月针对公司全员进行了一次信息安全意识培训，于是为了验证一下培训效果，趁五一假期刚结束大家还没正式进入工作状态，开展了本次邮件钓鱼攻击。模拟域名准备 &...

05月04日26 views评论

阅读全文

安全百科

【答疑解惑】使用JSON格式传输数据可以实现CSRF吗？

答案是：一般情况下，最新版本浏览器下无法实现JSON CSRF。最新版本浏览器包括网传flash+307跳转攻击方法只能在旧版浏览器适用，在2018年后更新版本的几乎所有浏览器，307跳转的时候并没有...

04月23日35 views评论

阅读全文

价值$4,660的CSRF漏洞

WEB前端逆向随笔

js逆向系列09-WPS

js 逆向系列01-断点&方法栈

漏洞挖掘之XSS接管任意用户账户

从条件竞争到绕过瑞数6反爬构造正向代理进入内网

portswigger靶场-Lab12、13

Atlas VPN存在泄露用户真实IP地址漏洞

CVE-2023-34192 —— Zimbra XSS To RCE

知乎 x-zse-96 字段破解

记录一次邮件钓鱼

【答疑解惑】使用JSON格式传输数据可以实现CSRF吗？

在线咨询

微信