【网络安全】从一个XSS实现TikTok账户接管

最新推荐文章于 2024-09-14 13:45:00 发布
最新推荐文章于 2024-09-14 13:45:00 发布
阅读量542 收藏 3
点赞数 15
分类专栏: 网络安全 文章标签: web安全 xss 网络安全
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/141099038
版权

未经许可,不得转载。

文章目录

正文

打开科学上网工具,浏览TikTok主应用程序。工具有一个选项,可以随机选择连接的位置。我们将连接设置为中国。

当我尝试访问https://tiktok.com/时,我被重定向到另一个网页https://www.tiktok.com/status?status=7&link=https://go.onelink.me/bIdt/,上面显示“此页面在您所在的地区不可用” :

img

URL包含两个参数,第一个参数是“status”,它负责页面内容。第二个参数是“link”,我们不知道它如何影响页面。

当我们将“status”参数的值更改为“1”时,页面内容发生了变化,并出现了一个新按钮。单击该按钮会将页面重定向到“link”参数的值(https://www.tiktok.com/status?status=1&link=https://go.onelink.me/BAuo/),这就是“link”参数发挥作用的地方:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
专栏目录
订阅专栏
网络安全XSS之Cookie外带攻击姿势及例题详析
等风来
05-19 7209
XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通常会利用已经存在的 XSS 漏洞,在受害者的浏览器上注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,然后攻击者就可以使用该 Cookie 来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等。
想要检测TikTok网络是否安全?这五个网站请收好
weixin_42340783的博客
05-22 1394
Tiktok目前在海外大火,越来越多的人想要进入TikTok的海外市场并捞一桶金。然而,成功并非易事。想要在TikTok中立足,我们必须保证我们的设备、网络环境和网络节点完全符合官方的要求,并且没有任何异常或风险。那么我们该如何设置、以及设置完成后如何检测自己账号的伪装度是否合格呢?
网络安全-自学笔记
关注网络安全、云原生安全
12-01 17万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 013-网络安全应急技术与实践(Web层-XSS钓鱼攻击)
时光隧道
02-10 7万+
XSS(跨站脚本)是一种常见的网络攻击技术,攻击者通过在受害者的网页中注入恶意脚本,来获取用户的敏感信息或执行恶意操作。因此,XSS高级钓鱼指的是通过XSS攻击手段来进行钓鱼行为,即通过在网页中注入恶意代码,并伪装成合法的网站或登录页面,从而诱使用户输入敏感信息。
Go语言Gin框架安全加固:全面解析SQL注入、XSS与CSRF的解决方案
热门推荐
qq_35716689的博客
02-04 36万+
在使用 Gin 框架处理前端请求数据时,必须关注安全性问题,以防范常见的攻击。作者: 鼠鼠我捏,要死了捏
TikTok_webapp
02-13
TikTok_webapp是一个基于HTML的项目,旨在创建一个Web应用程序,模仿流行的短视频平台TikTok的功能。这个项目可能是由开发者或学习者为了理解Web开发技术,特别是前端开发而创建的。通过分析这个项目,我们可以深入...
网络安全XSS之绕过HttpOnly实现帐户接管
等风来
05-29 905
fetch 方法是JavaScript中用于发起网络请求的现代 API,实现从网络中获取资源(如文本、JSON、Blob 等)。url 是要发送请求的 URL,而 options 则是一个包含各种配置选项的对象,例如请求方法、请求头、身份验证信息等。fetch 方法返回一个 Promise,该 Promise 在收到响应后会解析为 Response 对象。通过对 Response 对象执行方法和访问属性,可以获取响应的状态、头信息和内容。
网络安全 - XSS LABS 靶场源码(Level 14 修复版 + 外链资源优化)
08-28
网络安全教育的广阔领域中,XSS(跨站脚本)攻击始终是一个核心议题。为了提升安全爱好者及开发者的防御技能,我对原本的 XSS LABS 靶场源码进行了修复,特别针对Level 14关卡进行了全面修复与优化。 Level 14 ...
网络安全攻击方式XSS初探.pdf
09-20
由于XSS攻击的多样性和复杂性,网站的防护是一个持续的过程,需要开发者、安全团队和用户共同努力。随着5G、物联网等新技术的兴起,安全防护的挑战也会随之增加,因此对网络安全的认识和防范措施的了解,已经成为IT...
网络安全(黑客技术)2024年三个月自学手册
2401_85026116的博客
09-14 2208
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1927
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全】漏洞挖掘:文件上传实现Webshell
等风来
09-10 368
接着,我上传webshell.php文件,文件内容为payload,拦截请求包,将文件名修改为jpg,但回显错误,这说明服务器验证了文件的内容。
网络安全】-文件上传漏洞
weixin_65311462的博客
09-10 882
文件上传漏洞指hacker能利用网站能让用户上传文件的功能,在上传过程中上传木马,直接连接或配合文件包含漏洞获取webshell,从而导致用户权限丢失,隐私泄露。成功getshell后hacker还可以长期控制受影响的网站或服务器,进行持续性的攻击和破坏,甚至会将受控制的服务器作为攻击其他目标的跳板,利用该服务器的资源和网络带宽发起更广泛的网络攻击。
网络安全 L1 Introduction to Security
weixin_74400487的博客
09-12 657
Then he/she may be able to decrypt passwords offline using brute force (thereby bypassing methods to prevent on-line password cracking).暴力破解是一种尝试所有可能的密码组合,直到找到正确密码的方法。由于这种破解尝试是在攻击者的系统上进行的,而不是直接针对目标系统,因此它可以绕过目标系统上可能存在的防止在线密码破解的措施,如账户锁定策略或登录尝试限制。
网络安全】-文件上传漏洞实战-upload-labs(0~16)
weixin_65311462的博客
09-09 1368
准备:一句话木马:
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
09-14 793
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
零基础小白能学网络安全吗?
2401_83781461的博客
09-11 238
网络安全涉及很多内容、计算机网络、暴力破解、安全工具、漏洞扫描、渗透测试、社会工程学、密码学、编程能力等等等等,学习起来需要大量的时间和精力。首先,问出这个问题的朋友,我大致判断一下,你对网络安全并不了解,只是单纯看到某个视频某篇文章,对其感兴趣,说白了你没有足够的动力驱动。但这并不意味着你不能学习。如果你正好是相反之人,可以先接触学学看,如果真的很难理解其中的概念和原理,那么或许你真的不适合学习网络安全。在大众眼中,网络安全可能就是黑别人网站的,账号被盗了能帮忙找到的,还有遇见老赖问能不能找到这个人的。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值