- 博客(2)
- 收藏
- 关注
RSS订阅转载 xss防御及绕过-小记1
XSS搞安全的应该都很熟悉。本次并不是说其原理,仅是分享下在测试过程中遇到的案例。本人小白一枚,所以案例大佬们看着可能非常简单,就当是记录下自己笔记吧,不喜勿喷哈。。 关于xss的防御,基本上都是采用输入过滤,输出编码。最近做的一个项目中的某个模块中,进行了输入过滤,采用跳转的形式。比如遇到<>或alert,响应包就会302跳转到固定网址。遇到这种黑名单的可以尝试各种绕过。...
2019-01-16 10:42:00
201
转载 验证码以及登录模块的逻辑漏洞
进行这个整理,因为在XXX项目的时候,发现登录处的忘记密码处,在验证用户身份的时候是通过,手机验证码验证的,通过修改响应包的返回参数值,可以绕过验证,进入第三步的密码重置。还有最近测试的一个sso登录,也存在验证码问题。之前的测试中也遇到过类似的验证码绕过的漏洞,所以对验证码绕过方法进行一个总结汇总、以及关于登录模块可能会存在的逻辑漏洞进行一个小整理。 其实,会出现验证码的地方,也就是...
2019-01-14 11:04:00
1145
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人