【漏洞学习——XSS】喜马拉雅存储性XSS

最新推荐文章于 2024-04-13 09:56:38 发布
最新推荐文章于 2024-04-13 09:56:38 发布
阅读量659 收藏
点赞数
分类专栏: 【渗透测试实战】 # 乌云漏洞案例学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/84379832
版权

漏洞简介

喜马拉雅(ximalaya.com) 听有声小说新闻音乐英语儿歌相声评书,就用喜马拉雅。 拥有中国最大的原创声音分享平台,数千位声音玩家每天发布数千条声音。

漏洞细节

1.专辑名称在输出的时候,过滤不严格。

2.在个人主页进行输出的时候,触发了XSS。

3.我们看获取到的cookie。并且使用获取到的cookie进行登录。

4.登录成功。

参见:https://bugs.shuimugan.com/bug/view?bug_no=138479

FLy_鹏程万里
关注
专栏目录
XSS漏洞攻击与防护源代码
10-31
XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本。这种攻击通常发生在Web...通过学习这些源代码,开发者可以更好地理解和实践XSS防护策略,提高Web应用的安全
SpringSecurity 学习笔记
LXYDSF的博客
11-24 3212
1. SpringSecurity 框架简介 1.1 概要 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套Web 应用安全的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全包括**用户认证(Authentication)和用户授权** (Authorization两个部分,这两点也是
Spring Security之 CSRF 问题解决
Damien_J_Scott的博客
12-21 1250
前后端分离项目,token出现 csrf报错 两个解决方案 第一种(推荐) 在securityConfiguration中添加禁用csrf @EnableWebFluxSecurity @EnableReactiveMethodSecurity public class SecurityConfiguration { @Bean public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity h.
喜马拉雅音频下载工具 支持免费音频/VIP音频 文尾有彩蛋
小刚刚技术博客
01-20 1万+
最近流行喜马拉雅,趁你有会员,教你下载其资源.如果没有会员可以找别人的会员获取cookie也可以.也没有别人的会员可以用此工具下载免费的音频也是不错的选择. 下载地址:https://...
java代码审计手书(二)
一个码农的笔记
11-21 5171
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 xml解析导致xxe漏洞 漏洞特征:XXE_XMLSTREAMREADER 当xml解析程序收到不信任的输入且如果xml解析程序支持外部实体解析的时候,那么造成xml实体解析攻击(xxe) 危害1:探测本地文件内容(xxe:xml 外部实体) <?xml version="1.0" enco...
每日一个爬虫练习:爬取喜马拉雅音频
Python案例分享,B站视频教程:https://space.bilibili.com/523606542
10-10 2295
前言 本文的文字及图片来源于网络,仅供学习、交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理。 本次目标 爬取喜马拉雅音频 https://www.ximalaya.com/ 开发工具 python 3.6.5 pycharm 爬虫代码 导入工具 import requests import re import time 请求网页 headers = { 'cookie': 'device_id=xm_1596531699..
常见WEB漏洞学习整理-XSS
06-11
常见WEB漏洞学习整理-XSS
DedeCMS 存储xss漏洞1
08-03
【DedeCMS 存储XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
Java代码审计
06-15
该课程从代码审计与渗透测试优缺点对比讲起,讲解了为什么前端防护都是纸老虎、如何从后端防护来防止漏洞被利用。学好该课程对于渗透的朋友能更彻底的了解漏洞的原理、开发的朋友能写出没有漏洞的代码。课程当中会使用到Fortify这个工具,下载地址:链接:https://pan.baidu.com/s/1zgbKGPMah4ujQ3ML0f6E-Q 提取码:3gme
Spring项目学习之遇见的bug
红莲灭的博客
07-29 211
项目场景: web工程构件部署失败 解决方案: 目前遇见两种情况失败 1.项目结构中,构件中未导入项目的jar包,启动失败 点开项目结构,点击构件项,将项目中的依赖包至于构件包中 2.web.xml中前端控制器未部署初值 <servlet> <servlet-name>DispatcherServlet</servlet-name> <servlet-class>org.springframework.web.servlet.
sonar静态扫描安全靶场webgoat
最新发布
Innocence_0的博客
04-13 983
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
SpringMVC@RequestMapping请求方法限定与请求参数限定
苏凯的博客
10-28 4909
SpringMVC@RequestMapping请求方法限定与请求参数限定 一.请求方法限定 除了可以对url进行设置,还可以限定请求进来的方法 限定GET方法 @RequestMapping(method = RequestMethod.GET) 如果通过POST访问则报错: HTTP Status 405 - Request method 'PO...
spring项目异常
weixin_33738555的博客
06-24 93
2019独角兽企业重金招聘Python工程师标准>>> ...
Request method ‘GET‘ not supported,不支持GET形式访问
热门推荐
qq_45489797的博客
12-31 11万+
org.springframework.web.HttpRequestMethodNotSupportedException: Request method ‘GET’ not supported 原因:异常提示的很明确,请求不支持GET方式访问,出现这种问题一般都是由于限制请求接口为POST,然后使用GET形式访问造成的。 解决方案:碰到这种问题有的小伙伴可能很懵逼,除萌新外大部分人都了解,既然限制了接口的访问类型,那肯定会用自己设定的访问类型去访问,比如你一个POST接口肯定不会用GET形式方式,但是有
喜马拉雅数据接口 JSSDK API 接入 demo WEB版 标准登录 、免登陆
阿……莫西林杀菌室
04-29 3398
1、引入jssdk config, XMLY, XMplayer 喜马拉雅sdk封装好的 <script src="https://s1.xmcdn.com/yx/web-jssdk/last/dist_cdn/1.3.4/xmsdk.min.js"></script> 2、初始化(授权登录、免登陆) config({ app_key: '2e*****1...
漏洞学习——XSS】豆瓣某处持久xss
Fly_鹏程万里
02-22 615
漏洞细节 主站个人空间相册..... 还有一个,没什么用的   参见:https://bugs.shuimugan.com/bug/view?bug_no=124719
xss漏洞之——初识xss
wsnbbz的博客
03-04 674
xss介绍 跨站脚本攻击一-XSS (Cross Site Script),指的是攻击者往Web页面或者URL里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入的内容没有过滤,那么当正常用户浏览该网页的时候,嵌入在Web页面里的恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的目的。 攻击方式 XSS攻击的代码是javas代码 xss一般情况是植入到url或者...
基于DOM随机XSS漏洞动态检测提升Web应用安全
他们的研究关注于解决Web应用程序中的一个重要安全问题——XSS漏洞XSS(Cross-Site Scripting)漏洞是Web安全领域的一大威胁,因为它们允许攻击者在用户的浏览器上执行恶意脚本,从而窃取敏感信息或控制用户的行为...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值